記 第一次伺服器被挖礦

2022-05-04 07:09:09 字數 1257 閱讀 3697

搭建了那麼多台伺服器,終於有人來搞我了。還有點小激動是怎麼一回事 φ(>ω<*)

首先發現的,還是公司裡乙個主管網路的大佬。他盯著公司裡每乙個ip的上下行,然後發現:哎呀,這個機子有點不對勁啊。

遂通知主管,然後就到我這裡了。

然後,由於本人的linux知識還是太匱乏,書到用時方恨少,排查問題多彎路啊,ε=(´ο`*)))唉。

然後我突然想到,不是還有前輩在嘛。我簡直就是個小機智呢~~

於是,在我不要臉外加軟磨硬泡的「請教」下,大佬終於伸出手把我從泥坑里拉了出來。

當然,這裡還得額外強調一下,

「crontab」是cron的配置檔案,是「cron table」的簡寫。

cron是乙個linux下的定時執行工具,可以在無需人工干預的情況下執行作業。

在linux中,週期執行的任務一般由cron這個守護程序來處理ps -ef|grep cron。cron讀取乙個或多個配置檔案,這些配置檔案中包含了命令列及其呼叫時間。

cron的配置檔案一般放在/var/spool/cron/這個目錄下,包括每個使用者甚至root的crontab任務,每個任務以建立者的名字命名,比如tom建的crontab任務對應的檔案就是/var/spool/cron/tom。一般乙個使用者最多只有乙個crontab檔案。

cron服務

service crond start //啟動服務

service crond stop //關閉服務

service crond restart //重啟服務

service crond reload //重新載入配置

service crond status //檢視服務狀態

ok,言歸正傳。

很多時候,hank們入侵你的伺服器後,並不止單純地寫個定時任務,還可能會植入個觸發事件,這是最麻煩的,因為你無從下手,就像潛伏病毒一樣。

因此,我們還需要做好監視,但不可能top然後一直盯著看吧?熬鷹呢秀兒。

所以我寫了乙個指令碼,自動執行top並抓取前幾天記錄,輸出到文字檔案中,如下:

monitor_top.sh

#!/bin/sh

top -bn 2 |grep -a 6 "cpu">/backup/monitor_$(date "+%y%m%d").txt

之後我便只需要時不時開啟檔案洛克洛克,就一目了然啦~~~

✧(^_-✿

記一次公司linux伺服器被挖礦

centos7.6 有些問題不是我遇到的 也一併記錄 伺服器執行緩慢,cpu飆公升,top一下,懷疑是挖礦程式.這個病毒還不是算很 很多挖礦病毒,使用top命令都看不到挖礦程式的程序。執行命令ps aux sort pcpu head 10 基本確定就是這兩程序了 kill 9 pid 基本沒用,肯...

記第一次伺服器被黑

在網路世界裡沒有僥倖,一切可能發生的事情終將發生.網路安全所涉及的每乙個環節都對最終的結果有直接的影響,任何乙個環節的疏漏終將造成整個安全鏈條的崩潰。在某個時間段內公司不允許訪問國外的 ip 位址,自己搭建的 vpn 是無法使用的。所以我就想使用國內的 vps 進行中轉。為了方便,國內 vps 進行...

記一次伺服器被挖礦程式攻擊解決

這兩天先後收到阿里雲的兩條簡訊,一次提示有挖礦程式 一次提示伺服器上的crontab被改了。中間隔了1天。剛開始我還沒有引起注意,看到有挖礦程式的時候,用top檢視到有mined的程序,就直接kill掉了,後來又遇到的時候,發現不對啊,有兩個特別佔cpu的程序,分別是qw3xt.2和ddgs.301...