收到阿里雲消息,服務器中挖礦病毒。登陸到服務器top 命令發現cpu100%。線程是程序是Donald,且線程pid較大。
解決思路是:
1.查找自動啓動項。crontab –l 發現
根據下載的文件地址,在瀏覽器中找到文件內容。分析發現有jnnkfa5這樣的文件。一查進程,果然有。
2.crontab -e 去掉自動啓動項。然後記得wq;
3.去掉 /root/.ssh/authorized_keys 這個文件是信任兩臺主機之間無密碼登陸的。顯然,我們的服務器上是不應該有這樣的文件的。
4..查找該文件位置。去掉調用程序文件的權限 。find / -name wnTKYg 和 chmod -x jnnkfa5 Donald
5.殺掉進程。ps -ef | grep -v grep | egrep 'Donald|ubhyfa5' | awk '{print $2}' | xargs kill -9
6.刪除掉挖礦程序。
7.更改root密碼。
8.建議立即及時排查系統/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/等目錄下是否存在可疑計劃任務文件,並加固系統密碼
參考:
1.https://blog.csdn.net/dabao87/article/details/81302991
2.https://juejin.im/post/5b62b975f265da0f9628a820
3.https://blog.csdn.net/u013948858/article/details/78252409