linux伺服器被挖礦的解決辦法

2021-10-24 10:45:16 字數 1041 閱讀 7748

本週發現伺服器很卡,明明什麼實驗也沒跑(gpu是空的),然後重啟後使用top指令後發現在自己賬號下有個程序占用了所有的的cpu資源,嘗試使用kill命令終止該程序後發現幾秒鐘程序又重啟了,資源一直處於耗盡狀態,至此發現該程序是惡意程序,網上搜尋後發現是乙個挖礦的程式。知道問題所在,那就好辦了。

想法:先刪除源程式,然後刪除指令碼,然後刪除定時任務,最後kill所有的惡意程序(因為直接kill後會程序還會重啟)。

檢視/etc/hosts的內容是否被惡意篡改

檢視發現該檔案增加了下述兩行**,將其刪除:

在/etc/hosts裡增加一條

127.0.0.1 g.upxmr.com
使用 crontab -l 檢視當前使用者的定時程式,然後確認是惡意的定時程式,使用 crontab -r刪除。

一般情況使用crontab -l是看不到的挖礦的程式,需要檢視/etc/crontab。但是本處使用crontab –l發現了挖礦指令碼所在位置,刪除後再確認/etc/crontab檔案內容無修改。

正常的/etc/crontab檔案內容如下:

長時間觀察發現cpu的資源占用並未公升高,說明問題是初步解決了,但是根源還沒找到,因為我們的服務都是部署在內網的,挖礦程式是從哪個入口侵入的還有待排查。

登入日誌檢視:

last -f /var/log/wtmp 

last -f /var/log/wtmp.1

結合.bash/bash指令的建立日期查詢到當天登入的使用者資訊,然後結合登入的ip分析,就能知道是內部人員盜用還是被外面的人當礦機了。當然也不排除是內部人員將登入ip替換的可能性。然後通過ip可分析是從**入侵的了。

1. linux 遭入侵,挖礦程序被隱藏排查記錄

2. 記一次linux挖礦病毒的清除

阿里雲伺服器被挖礦minerd入侵的解決辦法

hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...

阿里雲伺服器被挖礦minerd入侵的解決辦法

hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...

阿里雲伺服器被挖礦minerd入侵的解決辦法

hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...