收到阿里云消息,服务器中挖矿病毒。登陆到服务器top 命令发现cpu100%。线程是程序是Donald,且线程pid较大。
解决思路是:
1.查找自动启动项。crontab –l 发现
根据下载的文件地址,在浏览器中找到文件内容。分析发现有jnnkfa5这样的文件。一查进程,果然有。
2.crontab -e 去掉自动启动项。然后记得wq;
3.去掉 /root/.ssh/authorized_keys 这个文件是信任两台主机之间无密码登陆的。显然,我们的服务器上是不应该有这样的文件的。
4..查找该文件位置。去掉调用程序文件的权限 。find / -name wnTKYg 和 chmod -x jnnkfa5 Donald
5.杀掉进程。ps -ef | grep -v grep | egrep 'Donald|ubhyfa5' | awk '{print $2}' | xargs kill -9
6.删除掉挖矿程序。
7.更改root密码。
8.建议立即及时排查系统/etc/crontab、/var/spool/cron/、/var/spool/cron/crontabs/等目录下是否存在可疑计划任务文件,并加固系统密码
参考:
1.https://blog.csdn.net/dabao87/article/details/81302991
2.https://juejin.im/post/5b62b975f265da0f9628a820
3.https://blog.csdn.net/u013948858/article/details/78252409