個人的阿里雲服務器發現挖礦程序,top發現cpu佔用賊高, kill掉之後又會啓動。
靈性crontab -e, 發現確實是有個叫update.sh的腳本會自動執行。
"*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir}
可是修改crontab保存失敗
於是查看update.sh,發現update.sh中有這樣的一段代碼, 佔用cpu高的文件名也在裏面,打算幹掉這幾個文件。
chmod 777 /etc/sysupdate
chattr +i /etc/sysupdate
chmod 777 /etc/networkservice
chattr +i /etc/networkservice
chmod 777 /etc/config.json
chattr +i /etc/config.json
chmod 777 /etc/update.sh
chattr +i /etc/update.sh
chmod 777 /root/.ssh/authorized_keys
chattr +i /root/.ssh/authorized_keys
於是刪除相關文件和crontab中的計劃
# 幹掉病毒相關的文件
chattr -i networkservice sysupdate update.sh sysguard config.json
rm -f networkservice sysupdate update.sh sysguard config.json
# 幹掉對應的sshkey
chattr -i /root/.ssh/authorized_keys
rm -f /root/.ssh/authorized_keys
# 清除crontab
cd /var/spool/
chattr -i cron/
crontab -r
問題解決,阿里雲控制檯停止報警, 但中毒原因仍未分析出來,目前只關閉了一些無用端口,但感覺是跟hadoop的端口有關。