上週末,更新易雲盤的時候,發現阿里雲服務器CPU很高,執行 top 一看,有個進程minerd盡然佔用了90%多的CPU, 趕緊百度一下,查到幾篇文章都有人遇到同樣問題
Hu_Wen遇到的和我最相似,下邊是他的解決辦法
http://blog.csdn.net/hu_wen/article/details/51908597
但我去查看啓動的服務,盡然沒有 lady 這個服務。 找不到始作俑者,那個minerd進程刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的進程
1. 關閉訪問挖礦服務器的訪問 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
.
2. chmod -x minerd ,取消掉執行權限, 在沒有找到根源前,千萬不要刪除 minerd,因爲刪除了,過一回會自動有生成一個。
3. pkill minerd ,殺掉進程
4. service stop crond 或者 crontab -r 刪除所有的執行計劃
5. 執行top,查看了一會,沒有再發現minerd 進程了。
解決minerd並不是最終的目的,主要是要查找問題根源,我的服務器問題出在了redis服務了,***利用了redis的一個漏洞獲得了服務器的訪問權限,
http://blog.jobbole.com/94518/
然後就注入了病毒
下面是解決辦法和清除工作
1. 修復 redis 的後門,
配置bind選項, 限定可以連接Redis服務器的IP, 並修改redis的默認端口6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給***者使用config指令加大難度
好消息是Redis作者表示將會開發”real user”,區分普通用戶和admin權限,普通用戶將會被禁止運行某些命令,如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號
3. 查看你的用戶列表,是不是有你不認識的用戶添加進來。 如果有就刪除掉.
轉載自
http://www.cnblogs.com/zhouto/p/5680594.html