记:解决阿里云服务器挖矿程序恶意进程
今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护):
解决过程:
1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图:
/bin/dhpcd 占用了99%的内存
2.查看定时任务,是否有不明的定时任务
①使用crontab -l命令查看,没有发现不明定时任务
②cat /etc/crontab,同样没有发现不明定时任务
3.检查端口的状态
netstat -aulntp
发现tcp连接有一个不明的外国ip
复制到浏览器访问看是什么,看下图:
翻译成中文的意思就是:在线矿池010620 ID 2803000
在这里我想到一个问题,这个挖矿程序是放在哪里的,怎么启动的,分析之后初步判断是在启动文件里面
4.第一次处理:
强制杀死进程: kill -9 PID
5.杀死进程查看CPU回归正常,如下图:
到此还不算彻底解决,因为定时任务里面我们找遍了都找不到,所以前面我们猜测可能挖矿程序放在启动文件里面的,因为我这个是用来做测试的服务器,上面没有业务,随时都可以重启,所以直接就进行重启认证,没有先去检查启动文件(我承认这一步我浪了。。。)
6.重启(果不其然,我们用图说话)
/bin/dhpcd进程又启动了,CPU又被占满了,现在基本可以确定挖矿程序就放在启动文件里面,接下来去检查一下启动文件
7.检查开机启动项
①检查/etc/init.d/目录下是否有可疑程序,检查后发现没有
②检查/etc/rc.d/rc.local(因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件就可以了)
发现了正在使用/bin/dhpcd的命令
8.彻底解决,服务器恢复正常状态
①杀死/bin/dhpcd进程
②删除/etc/rc.d/rc.local文件的可疑命令
③备份/bin/dhpcd为/bin/dhpcd.bak,然后删除/bin/dhpcd
9.还有一个问题:我的root用户本来是禁止远程登录的,通过查看服务器的安全日志,发现最近几天都是被人用root用户远程登录了我的服务器,然后植入挖矿程序,所以还需要检查一下sshd的配置文件,root用户的远程权限是否被修改了,如果被修改了,那还要将配置文件改回来
①如下是我整理出来的最近几天异常登录的日志,可以发现全是利用root用户登录的,当然也可以通过查看植入的挖矿程序的所有者跟所属组来判断:
②查看sshd配置文件,检查root远程权限是否被修改:
vim /etc/ssh/sshd_config
果然被修改了,PermitRootLogin为yes表示允许root远程登录,为no表示拒绝root远程登录,这里我本来设置的是no,现在变成yes,很明显被改了
③修改sshd配置文件,重新启动sshd服务
修改后如下图:
重新启动sshd服务:
systemctl restart sshd
最后总结一下流程,因为在生产环境中我们不能随意重启服务器,所以不是迫不得已的情况下,我们尽量不重启服务器
挖矿程序排查流程:
①检查进程(top -c)
②检查定时任务(crontab -l、cat /etc/crontab)
③检查端口的状态(netstat -aulntp)
④检查开机启动项(ll /etc/init.d/、cat /etc/rc.d/rc.local)
分析日志之后还发现一个问题,我的root用户的密码在27号曾经被改过,这个下篇博文再说,其中也遇到了一个问题!!!
记:解决阿里云服务器挖矿程序恶意进程相关推荐
- 阿里云服务器挖矿程序解决流程
阿里云服务器挖矿程序解决流程 问题表象 定位解决问题 问题表象 1.CPU满负载 进入root用户执行top命令: 2. 应用进程被杀 ./startWebLogic.sh: line 184: 23 ...
- 清除阿里云服务器挖矿程序过程
文章目录 现象 解决方法 1. 使用audit监控`pam_unix.so`文件 2. 查找cron隐藏命令 挖矿脚本分析 总结 现象 某天开始使用正确的用户名/密码无法SSH登录服务 即使用阿里云的 ...
- 解决阿里云服务器被恶意挖矿问题
解决阿里云服务器被恶意挖矿问题 一.出现问题现象以及原因 二.解决方法 一.出现问题现象以及原因 出现现象:阿里云控制台出现高危应急漏洞,其次CPU和内存都打满:经过问题详情的查看, 发现攻击者是在e ...
- 【解决阿里云服务器提示挖矿程序风险2022】
解决阿里云服务器提示挖矿程序风险2022-10 搜索删除含system-private相关的所有文件 如图:system-private.... 2.清除定时任务 3.修改文件可执行权限 4.清除路由 ...
- 解决阿里云服务器被植入挖矿脚本过程
文章目录 前言 一.服务器为什么会被告警挖矿? 二.怎么解决: 1.top 命令查看进程cpu 占用情况: 2.通过pid进程号,查找改程序所在的目录: 3. 强制删除脚本文件: 4. 强制杀死进程: ...
- 解决阿里云服务器telnet端口不成功的问题
问题还原 阿里服务器部署了一个API站点,端口为8079,本地电脑怎么telnet到这个端口都不成功 排查 防火墙 要么把防火墙全部关闭,或者配置入站出站规则,这里我是直接关闭服务器的防火墙 查看端口 ...
- 解决阿里云服务器通过域名访问被拒
问题:新购买的阿里云服务器搭建完LNMP环境,通过域名去访问被拒.显示连接超时. 排查问题: 1.ping服务器IP是否能ping通: 2.排查Nginx配置是否有问题: 3.确定前两步没问题之后,登 ...
- 解决阿里云服务器访问端口不通问题
目标 阿里云服务器上部署应用,需要在公网上访问 问题 公网访问的话,应该使用公网ip地址,目前测试1935端口不通 排查范围 1.未在安全组开放1935端口与对应协议 2.云服务器的防火墙未开放193 ...
- 解决阿里云服务器外网不能访问的问题
阿里云默认是没有开启外网http访问的. 1.阿里云服务器实例-选择"更多"-"网络和安全组"-选择"安全组配置". 2.点击"配 ...
最新文章
- 给View 添加手势,点击无反应 如何给View添加点击事件,手势方法
- 【深度学习】(4) 梯度下降、损失函数
- 正常的人|正确的作息时间
- 最受Linux程序员欢迎的7个代码编辑器的介绍及下载地址
- Vue.js not detected
- 利用memcached实现CAS单点登录集群部署
- Go单测测试 — 数据库 CRUD 的 Mock 测试
- 95-910-170-源码-FlinkSQL-Flink SQL 中的流和动态表
- android 清除应用程序数据,清除Android应用程序用户数据
- react 中使用import()实现按需加载报错 解决方法 --‘import’ and ‘export’ may only appear at the top level
- javascript版购物网站图片轮转
- FusionCharts 学习总结
- C++制作一个连点器
- 在matlab上标点,matlab注释用什么符号
- 【19调剂】南方科技大学2019年硕士研究生招生预调剂公告
- LS1046A 环境搭建-LSDK快速搭建
- Android快速开发整理(库、插件,kotlin枚举注解
- maven命令行下载依赖
- OpenSSL/GmSSL 动态引擎
- 周赛题1(leetcode)
热门文章
- 谈广告很难?友链交换不好找?有神器
- 三星SDI推出电池品牌PRiMX
- LiFS: Low Human-Effort, Device-Free Localization with Fine-Grained Subcarrier Information
- Scrum: 增量和迭代开发有什么区别?Scrum: Incremental vs Iterative
- 别浪费时间。别浪费时间。别浪费时间
- 数据结构与程序设计实践期末大作业(编一个小游戏)————笨鸟先飞(C语言)
- mov,movl,movw有什么区别?
- 显示硬件发展与视频开发系列(6)----显示标注与视频处理单元(3):APU
- 作为程序员该了解的8条冷知识
- 加密王座游戏攻略——GoDapp