起因:

公司手机收到阿里云提示短信,检测到ECS服务器出现紧急安全事件:访问恶意下载源

于是访问阿里云管理平台查看到如下信息

处理过程一:

连接到服务器,htop查看到有可疑进程,吃掉了服务器2vcpu中的1个

上网搜了一下ackng.com确认了这是一个挖矿木马程序

于是就先kill杀掉进程

然后通过find查找到了./xr所在目录 /.Xll

rm -rf /.Xll

删除该目录及目录内所有文件

继续htop观察,cpu确实降下来了

然而,过了几分钟时间后,cpu又有一个被占满了,刚才删除的/.Xll/xr又回来了

处理过程二:

这时候,一般就能猜到,一定有什么东西能让木马程序复制或者重新下载,怀疑是个定时任务

于是我先去阿里云改了一下密码,重启服务器,

然后发现该进程在我重新连上服务器之前就自己启动了

发现在个进程前面,有一个CROND ,说明确实有定时任务

于是接下来主要就是要找到这个定时任务

通过 systemctl list-unit-files|grep enabled

能看到有个crond.service定时服务

所以上网看了下crond服务的配置文件位置

vim /etc/crontab 打开查看

抓到了!

这里有多条黄色字,就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令,保存配置

而后,重新杀死木马进程,删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见,再次修改了服务器密码

重启服务器,观察了一阵子没有奇怪的进程了

Done!

记一次阿里云ECS被挂挖矿代码的处理历程相关推荐

  1. 记一次阿里云ECS服务器centos6.5无法使用epel源的爬坑

    说明: 提示:提示:这篇文章仅是记录自己成长路上的愚笨,不喜勿喷,同时也希望各路大神提出优秀的观点.谢谢!! 问题描述: :今天生产上出现了阿里云ECS服务器内网流出带宽占用过高的问题.经过网上查询阿 ...

  2. 记一次阿里云ECS实例预约迁移

    2014年购买的第一台阿里云服务器,当时记得购买的还是青岛区,想想使用阿里云已经三年多了,接触阿里云也有五年了, 在云上,始终有你!!! 上周五的时候登陆ECS后台,提示实例迁移,闲来无事随便点开看了 ...

  3. 阿里云ECS服务器内存一直居高不下,被挂木马解决方法

    我现在所在的公司负责的一个项目,使用的是阿里云ecs服务器,4核8G.近期阿里云提醒有安全漏洞,登录阿里云账号之后,根据提示删除了相应的文件.但是比较奇怪的是服务器内存一直升高,一度达到了80%以上, ...

  4. 记一次阿里云k8s部署-测试存储

    记一次阿里云k8s部署 阿里云资源准备 服务器 ip 角色 资源 192.168.1.160 master1 2核4G 192.168.1.161 master2 2核4G 192.168.1.162 ...

  5. 阿里云ecs建站 一键环境配置内容超级详细 大家都可以轻易上手

    终于将网站搭建完了,折腾了很久没有找到像我们这种小白的教程,那就写一篇吧! 一.购买域名和阿里云ecs 首先,我们需要购买ecs,选择了1核1G的入门版,地域可以选择离你比较近的:在这里我们CentO ...

  6. 阿里云ECS服务器购买及配置,SpringBoot项目部署到阿里云ECS服务器,阿里云ECS服务器安装JDK、Mysql、nginx详细步骤

    1.购买阿里云ECS服务器 官网:阿里云-上云就上阿里云 根据自己的需要选择相应的配置: 目前有一个月的服务器免费体验时间,我选择了免费体验,点击后,可以看到你刚才购买的服务器: 也可以通过这里查看你 ...

  7. 如何选择阿里云ECS服务器?

    阿里云是国内第一大云服务器厂商,所以往往我会推荐公司客户优先选择阿里云.毕竟稳定,技术可靠和安全是第一优先考虑的因素.现在来详细介绍下阿里云服务器的选购图文操作步骤. 一.选购阿里云的三种方式 根据站 ...

  8. Putty连接阿里云ECS服务器

    使用Putty连接阿里云ECS服务器 实例密码和远程连接密码的区别 实例密码: 远程连接密码: 1.为服务器配置安全组策略 2.尝试利用putty登陆ECS 3 安装宝塔面板: 3.1 设置宝塔面板 ...

  9. 阿里云ecs建站 一键环境配置 图文超详细_liunx下建站,适合纯新手小白

    终于将网站搭建完了,折腾了很久没有找到像我们这种小白的教程,那就写一篇吧! 一.购买域名和阿里云ecs 首先,我们需要购买ecs,选择了1核1G的入门版,地域可以选择离你比较近的:在这里我们CentO ...

最新文章

  1. 怎么做 慢充 话费_高佣联盟充值话费省钱小技巧教程
  2. 学习笔记(16):Python网络编程并发编程-开启子进程的两种方式
  3. 大厂首发:2021年Java工作或更难找
  4. java ioc和aop的含义_Spring核心IoC和AOP的理解
  5. docker rabbitmq_一文看懂Rabbitmq,从安装到实战演练
  6. iOS传感器开发——为APP添加手机密码、指纹进行安全验证
  7. nova创建虚拟机源码分析系列之六 api入口create方法
  8. 一个指导人机系统评估的框架
  9. setSingleChoiceItems和setPositiveButton两者触发时期
  10. sdut oj2133 数据结构实验之栈三:后缀式求值
  11. 想不到 HR 都在 GitHub 捞人!五位开源大牛分享成长经历(文末福利)
  12. python中摄氏度的符号咋打_linux下怎么方便的输入度数符号 °
  13. ORA-01012: not logged on 解决办法记录错误
  14. Word文档中如何修改设置行距
  15. php 遍历数组 车牌,javascript,html_为什么我最后输出的车牌号全部是数字啊?明明数组里的是字母多啊!,javascript,html - phpStudy...
  16. JavaScript检测视频的编码格式是否为h264
  17. 工程机械车辆环保数据监控平台
  18. php对接短信宝,php使用短信宝发送短信的方法
  19. xcode 程序入口
  20. Ubuntu系统备份到U盘

热门文章

  1. 记录_20190626
  2. python tan,Python3 tan() 函数
  3. Jeff Darcy个人发布的分布式存储测试分析报告为什么只关注Small Synchronous Writes
  4. 【UE4 第一人称射击游戏】13-瞄准开火
  5. 【转】“执行力”问题的实质是“领导力”
  6. 用html编写诗句春晓,唐诗与灯谜1:《春晓》
  7. android收集备忘录恢复工具,安卓手机备忘录删除了怎么恢复?仅有一种方法可以恢复!...
  8. 数据结构—— 一元多项式的加法运算
  9. CBA联赛32轮 山西男篮92:86战胜江苏同曦
  10. ava基础知识02-