阿里雲伺服器centos7挖礦病毒處理

2022-08-29 20:03:16 字數 1746 閱讀 3057

處理過程:

1、查詢異常程序,確定病毒程序,定位病毒指令碼的執行使用者

2、殺掉病毒程序,注意要檢查清楚,病毒程序可能有多個,同時也要注意不要誤刪系統程序或者阿里雲的程序

3、檢查定時任務,一般都會有,以達到病毒自啟的效果,通過定時任務內容定位病毒指令碼的位置,然後刪除病毒指令碼

4、整改使用者賬號

5、檢查系統現有軟體漏洞

一、查詢異常程序,確定病毒程序

執行命令top,然後找出使用的cpu以及記憶體較多的疑似病毒程序

同時可以配合命令ps相互印證

主要留意stat為ssl的程序,但這不是定律。

一旦找出疑似病毒程序後,記錄程序的啟動使用者以及程序號pid,然後使用命令:

ls -l /proc/pid/exe

檢視程序的啟動文件,一般來說挖礦指令碼執行完之後會自我刪除,所以此時命令結果可以看到啟動文件已被刪除。

二、殺掉病毒程序

確定病毒程序後,記錄程序的啟動使用者,然後通過命令kill -9 pid殺掉病毒,注意先檢查是否作業系統自帶的服務或者阿里雲服務。

三、檢查定時任務

執行命令檢視該使用者的定時任務:

crontab -u 使用者名稱 -l

如果有,則可以執行命令進行修改刪除:

crontab -u 使用者名稱 -e

或者直接檢視/etc/crontab檔案、/var/spool/cron/資料夾,後者的機率大一些,檢視定時任務,檢查哪些定時任務是病毒的自啟任務,從而找出病毒執行檔案位置,然後刪除該定時任務及病毒指令碼。

四、整改使用者賬號

某些病毒是使用常見的使用者名稱,對伺服器使用暴力破解密碼的方式來攻擊伺服器,如:mysql、postgres、oracle等等,所以我們要妥善管理使用者賬號。首先只建立有用賬號,一些無用賬號直接刪除,然後盡量避免使用一些軟體名來作為使用者名稱,如剛剛提到的資料庫軟體名,最後若無遠端伺服器需求的賬號,應建立非登入使用者,直接修改/etc/passwd檔案把使用者改成nologin級別。

五、檢查軟體漏洞

檢查系統安裝的軟體是否存在漏洞,有的話則修復,如redis需要加上訪問密碼或bind 127.0.0.1配置項,tomcat的ajp漏洞則公升級tomcat或者禁用ajp的相關服務。

tips

1、修改使用者級別為nologin之後,需要切換使用者時,su命令需加上shell引數「-s」,如:su mysql -s /bin/bash

2、使用ps命令檢視程序的當前狀態,其中stat列的含義如下:

d 不可中斷的休眠。通常是io。

r 執行。正在執行或者在執行佇列中等待。

s 休眠。在等待某個事件,訊號。

t 停止。程序接收到資訊sigstop,sigstp,sigtin,sigtou訊號。

w paging,在2.6之後不用。

x 死掉的程序,不應該出現。

z 僵死程序。

通常還會跟隨如下字母表示更詳細的狀態。

< 高優先順序

n 低優先順序

l 有pages在記憶體中locked。用於實時或者自定義io。

s 程序領導者,其有子程序。

l 多執行緒

+ 位於前台程序組。

阿里雲centos7伺服器安裝redis

yum install gcc c 進入redis解壓目錄,opt redis x.x,然後輸入指令make make如果更新gcc,在make途中停了有可能是伺服器執行記憶體不夠了,需要設定一塊虛擬記憶體。1 檢視記憶體使用情況 free mroot supermap swap free m to...

阿里雲伺服器(Centos7)安裝Docker

昨天搞了個阿里雲學生機,先來安裝一下docker吧 步驟如下 前提 在root 管理員 賬戶的環境下的,如果不是的話所有命令前面加 sudo 也是沒問題的,不然會提示permission denied 許可權被拒絕 1 先看看核心版本是不是3.10或以上 uname a 2 可選 把yum包更新到最...

阿里雲ECS伺服器Centos7安裝Resi5 x

阿里雲ecs伺服器centos7安裝resi5.x wget tar xzf redis 5.0.3.tar.gz cd redis 5.0.3 make 設定密碼的流程如下 vim etc redis.conf requirepass foobared去掉注釋,foobared改為自己的密碼,我在...