朋友的阿里雲放著沒用了,我就借來打算放兩個小東西上去,結果一上去看到cpu 100%,我的天,如果這是個windows,我就要開始懷疑他是不用這個來看愛情片。
當在cpu爆滿。使用top命名會發現有若干個程序長期占用及高的cpu,那麼問題就出在這些程序上,想都不用想kill -9 pid瞬間消滅!垃圾病毒,雖遠必誅!剛開始自信滿滿的時候,biu的一下 cpu又重新回到100。這下就難搞了,感覺度娘!
先說乙個快速,指標不治本的解決方案:
(1)通過top獲取病毒程序的pid,然後進入/proc/中,然後找到對應pid的資料夾進去。最後ls -l展示資訊的exe的值就是對應程序的檔案路徑
(2)進入路徑找到該程式chattr -i 程式名如(chattr -i networkservice)然後rm -rf 程式名
(3)新建乙個同名的檔案執行chattr +i 程式名就大功告成
根據這個原理 首先可以關閉定時任務crontab -l檢視所有定時任務
然後就看到了,沒30分鐘執行一次指令碼,而且更可氣的是病毒在檔案命名上很有迷惑性,當時我中的兩個分別叫systemupdate,networksservice。我的天,最開始還以為是系統的東西。既然看到了任務 就趕緊crontab -r刪除所有任務注意!有可能你定時任務在其他使用者上,就算你用root也刪不了其他使用者的定時任務!!必須去其他使用者刪除。而且一般情況下都會是在另外乙個使用者上,後面會講原因。在/var/spool/cron/資料夾下還有很多具有迷惑性的檔案,挨著乙個個開啟看到如:
有這樣的檔案,趕緊也刪除掉
通過上面的刪除檔案、新建檔案再刪除定時任務,病毒指令碼,基本就算徹底解決的這個病毒。但解決歸解決,系統漏洞還是存在的。
根據介紹,是因為redis服務沒有設定密碼並且對公網可訪問。那麼解決方案就有兩種。
(1) redis服務增加密碼。
修改redis目錄下/etc/redis.conf中# requirepass foobared去掉注釋修改為requirepass 密碼然後重啟服務
(2) 設定外網不可訪問。
同樣修改redis.conf中的bind 0.0.0.0這個表示所有網路可以訪問 修改為bind 127.0.0.1 就隔絕外網了,但是實際生產環境多數都不會是本機執行,就需要指定ip才可訪問。設定方式見下:
阿里雲伺服器手動清除挖礦病毒
阿里雲伺服器ecs較便宜的版本,其安全性不高。如果再加上人為相關的不當操作,伺服器很容易受到攻擊。其中一種情況是伺服器受到挖礦程式的攻擊。登入到伺服器檢視程序,可以發現cpu占用很高的兩個程式 sysupdate和networkservice。檢視挖礦程式目錄 輸入命令ls l proc exe,可...
雲伺服器中挖礦病毒watchdog記錄
晚上收到阿里雲伺服器被攻擊的緊急郵件,登入控制台就發現遭到了惡意植入挖礦病毒,直接把我cpu資源吃完了,可恨。主要是挖礦程式和惡意指令碼 執行,我把這六個問題分別截圖,挨個來解決 一 挖礦程式 看這兩個挖礦程式的pid相同,直接追蹤目標吧。應該是通過惡意植入了乙個檔案。先通過top檢視了資源情況,好...
如何清除Linux雲伺服器上的挖礦病毒?
linux系統雲伺服器如何清除挖礦病毒 1.使用以下命令及時關閉挖礦伺服器 root fuwuqi iptables a input s xmr.crypto pool.fr j drop root fuwuqi iptables a output d xmr.crypto pool.fr j dr...