記一次阿里雲服務器中挖礦程序的異常

收到阿里雲消息,服務器中挖礦病毒。登陸到服務器top 命令發現cpu100%。線程是程序是Donald,且線程pid較大。

解決思路是:

1.查找自動啓動項。crontab –l  發現

 根據下載的文件地址,在瀏覽器中找到文件內容。分析發現有jnnkfa5這樣的文件。一查進程,果然有。

2.crontab -e 去掉自動啓動項。然後記得wq;

3.去掉 /root/.ssh/authorized_keys 這個文件是信任兩臺主機之間無密碼登陸的。顯然,我們的服務器上是不應該有這樣的文件的。

4..查找該文件位置。去掉調用程序文件的權限 。find / -name wnTKYg 和 chmod -x jnnkfa5 Donald

5.殺掉進程。ps -ef | grep -v grep | egrep 'Donald|ubhyfa5' | awk '{print $2}' | xargs kill -9

6.刪除掉挖礦程序。

7.更改root密碼。

8.建議立即及時排查系統/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/等目錄下是否存在可疑計劃任務文件,並加固系統密碼

參考:

1.https://blog.csdn.net/dabao87/article/details/81302991

2.https://juejin.im/post/5b62b975f265da0f9628a820

3.https://blog.csdn.net/u013948858/article/details/78252409

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章