今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护):

解决过程:
1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图:

/bin/dhpcd 占用了99%的内存

2.查看定时任务,是否有不明的定时任务
①使用crontab -l命令查看,没有发现不明定时任务
②cat /etc/crontab,同样没有发现不明定时任务

3.检查端口的状态
netstat -aulntp
发现tcp连接有一个不明的外国ip

复制到浏览器访问看是什么,看下图:

翻译成中文的意思就是:在线矿池010620 ID 2803000

在这里我想到一个问题,这个挖矿程序是放在哪里的,怎么启动的,分析之后初步判断是在启动文件里面

4.第一次处理:
强制杀死进程: kill -9 PID

5.杀死进程查看CPU回归正常,如下图:

到此还不算彻底解决,因为定时任务里面我们找遍了都找不到,所以前面我们猜测可能挖矿程序放在启动文件里面的,因为我这个是用来做测试的服务器,上面没有业务,随时都可以重启,所以直接就进行重启认证,没有先去检查启动文件(我承认这一步我浪了。。。)

6.重启(果不其然,我们用图说话)

/bin/dhpcd进程又启动了,CPU又被占满了,现在基本可以确定挖矿程序就放在启动文件里面,接下来去检查一下启动文件

7.检查开机启动项
①检查/etc/init.d/目录下是否有可疑程序,检查后发现没有

②检查/etc/rc.d/rc.local(因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件就可以了)

发现了正在使用/bin/dhpcd的命令

8.彻底解决,服务器恢复正常状态
①杀死/bin/dhpcd进程
②删除/etc/rc.d/rc.local文件的可疑命令
③备份/bin/dhpcd为/bin/dhpcd.bak,然后删除/bin/dhpcd

9.还有一个问题:我的root用户本来是禁止远程登录的,通过查看服务器的安全日志,发现最近几天都是被人用root用户远程登录了我的服务器,然后植入挖矿程序,所以还需要检查一下sshd的配置文件,root用户的远程权限是否被修改了,如果被修改了,那还要将配置文件改回来
①如下是我整理出来的最近几天异常登录的日志,可以发现全是利用root用户登录的,当然也可以通过查看植入的挖矿程序的所有者跟所属组来判断:

②查看sshd配置文件,检查root远程权限是否被修改:
vim /etc/ssh/sshd_config

果然被修改了,PermitRootLogin为yes表示允许root远程登录,为no表示拒绝root远程登录,这里我本来设置的是no,现在变成yes,很明显被改了

③修改sshd配置文件,重新启动sshd服务
修改后如下图:

重新启动sshd服务:
systemctl restart sshd

最后总结一下流程,因为在生产环境中我们不能随意重启服务器,所以不是迫不得已的情况下,我们尽量不重启服务器
挖矿程序排查流程:
①检查进程(top -c)
②检查定时任务(crontab -l、cat /etc/crontab)
③检查端口的状态(netstat -aulntp)
④检查开机启动项(ll /etc/init.d/、cat /etc/rc.d/rc.local)

分析日志之后还发现一个问题,我的root用户的密码在27号曾经被改过,这个下篇博文再说,其中也遇到了一个问题!!!

记:解决阿里云服务器挖矿程序恶意进程相关推荐

  1. 阿里云服务器挖矿程序解决流程

    阿里云服务器挖矿程序解决流程 问题表象 定位解决问题 问题表象 1.CPU满负载 进入root用户执行top命令: 2. 应用进程被杀 ./startWebLogic.sh: line 184: 23 ...

  2. 清除阿里云服务器挖矿程序过程

    文章目录 现象 解决方法 1. 使用audit监控`pam_unix.so`文件 2. 查找cron隐藏命令 挖矿脚本分析 总结 现象 某天开始使用正确的用户名/密码无法SSH登录服务 即使用阿里云的 ...

  3. 解决阿里云服务器被恶意挖矿问题

    解决阿里云服务器被恶意挖矿问题 一.出现问题现象以及原因 二.解决方法 一.出现问题现象以及原因 出现现象:阿里云控制台出现高危应急漏洞,其次CPU和内存都打满:经过问题详情的查看, 发现攻击者是在e ...

  4. 【解决阿里云服务器提示挖矿程序风险2022】

    解决阿里云服务器提示挖矿程序风险2022-10 搜索删除含system-private相关的所有文件 如图:system-private.... 2.清除定时任务 3.修改文件可执行权限 4.清除路由 ...

  5. 解决阿里云服务器被植入挖矿脚本过程

    文章目录 前言 一.服务器为什么会被告警挖矿? 二.怎么解决: 1.top 命令查看进程cpu 占用情况: 2.通过pid进程号,查找改程序所在的目录: 3. 强制删除脚本文件: 4. 强制杀死进程: ...

  6. 解决阿里云服务器telnet端口不成功的问题

    问题还原 阿里服务器部署了一个API站点,端口为8079,本地电脑怎么telnet到这个端口都不成功 排查 防火墙 要么把防火墙全部关闭,或者配置入站出站规则,这里我是直接关闭服务器的防火墙 查看端口 ...

  7. 解决阿里云服务器通过域名访问被拒

    问题:新购买的阿里云服务器搭建完LNMP环境,通过域名去访问被拒.显示连接超时. 排查问题: 1.ping服务器IP是否能ping通: 2.排查Nginx配置是否有问题: 3.确定前两步没问题之后,登 ...

  8. 解决阿里云服务器访问端口不通问题

    目标 阿里云服务器上部署应用,需要在公网上访问 问题 公网访问的话,应该使用公网ip地址,目前测试1935端口不通 排查范围 1.未在安全组开放1935端口与对应协议 2.云服务器的防火墙未开放193 ...

  9. 解决阿里云服务器外网不能访问的问题

    阿里云默认是没有开启外网http访问的. 1.阿里云服务器实例-选择"更多"-"网络和安全组"-选择"安全组配置". 2.点击"配 ...

最新文章

  1. 给View 添加手势,点击无反应 如何给View添加点击事件,手势方法
  2. 【深度学习】(4) 梯度下降、损失函数
  3. 正常的人|正确的作息时间
  4. 最受Linux程序员欢迎的7个代码编辑器的介绍及下载地址
  5. Vue.js not detected
  6. 利用memcached实现CAS单点登录集群部署
  7. Go单测测试 — 数据库 CRUD 的 Mock 测试
  8. 95-910-170-源码-FlinkSQL-Flink SQL 中的流和动态表
  9. android 清除应用程序数据,清除Android应用程序用户数据
  10. react 中使用import()实现按需加载报错 解决方法 --‘import’ and ‘export’ may only appear at the top level
  11. javascript版购物网站图片轮转
  12. FusionCharts 学习总结
  13. C++制作一个连点器
  14. 在matlab上标点,matlab注释用什么符号
  15. 【19调剂】南方科技大学2019年硕士研究生招生预调剂公告
  16. LS1046A 环境搭建-LSDK快速搭建
  17. Android快速开发整理(库、插件,kotlin枚举注解
  18. maven命令行下载依赖
  19. OpenSSL/GmSSL 动态引擎
  20. 周赛题1(leetcode)

热门文章

  1. 谈广告很难?友链交换不好找?有神器
  2. 三星SDI推出电池品牌PRiMX
  3. LiFS: Low Human-Effort, Device-Free Localization with Fine-Grained Subcarrier Information
  4. Scrum: 增量和迭代开发有什么区别?Scrum: Incremental vs Iterative
  5. 别浪费时间。别浪费时间。别浪费时间
  6. 数据结构与程序设计实践期末大作业(编一个小游戏)————笨鸟先飞(C语言)
  7. mov,movl,movw有什么区别?
  8. 显示硬件发展与视频开发系列(6)----显示标注与视频处理单元(3):APU
  9. 作为程序员该了解的8条冷知识
  10. 加密王座游戏攻略——GoDapp