繼上次服務器被黑之後,今天發現又一次被黑進當成挖礦肉雞(當然不是同一臺啦),從CPU使用率報警90%之後,登陸服務器發現有一個進程達到了100%之上,請看下圖:
Wipsws這是個清理存儲空間的系統進程,此情此景不應該出現在這裏。
至此!小編一刀可以定義:此事定有蹊蹺!
順藤摸瓜,通過PID查一下進程開的端口:
netstat -anp|grep 27113
可以看出 ,本機IP的53778端口訪問到了法國的一個IP上去了。
我們公司可沒有法國的業務,項目組也沒開過這個程序,百度一下,大家都說是挖礦程序,不說了,準備幹掉它!
1.先改登陸密碼,然後kill掉wipefs進程。
2.這還沒完,看一下日誌信息:
139.99.9.63 這個IP不斷嘗試掃描端口,把這個IP封掉
iptables -I INPUT -s 139.99.9.63 -j DROP
3.再看一下開機啓動項
wipefs 刪掉!刪掉!
4.在etc下find查一下,全部刪掉!
5.再看一下DNS解析,被改了,這個188段的IP也是法國的,刪掉!
現在清理乾淨了。
打完收工!
看着CPU瞬間傾瀉下來
整個世界都清淨多了,猶如手上的菸頭,悠然的冒着青煙。。。