1.收到阿里云发来的预警短信

【阿里云】尊敬的1*********9：云盾云安全中心检测到您的服务器：1xx.xx.xx.x5（gateway）出现了紧急安全事件：主动连接恶意下载源，建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理
。云安全中心提供企业版7天免费试用，您可以开通试用查看更多信息。如果您在处理过程中遇到问题，可以咨询阿里云官方电话95187-1

2.登陆阿里云服务器，发现服务器十分的卡，t命令查看结果如下

[root@kk ~]# top

3.使用命令杀死进程，最后再杀死，还需要使用这个进程查找病毒文件

[root@kk ~]# kill - 9 20202

杀死进程，一段时间后又重新出现另外一个进程，其中PID和COMMAND不一致，CPU使用还是99.9%，判定存在守护进程或定时任务

4.使用命令

[root@kk ~]# crontab -l

查看是否有奇怪的定时任务

[root@kk ~]# crontab -l
0 * * * * ~/.system-init

注意！此任务非我 创建，再看后面的脚本.system-init 好像是系统的某个任务，实际为病毒伪装

使用下面命令删除

[root@kk ~]# crontab -r

5.使用命令

lsof -p 20202

查看进程的相关信息，执行路径等等，楼主杀死病毒成功后写的博客，没有相应的截图了，存在相关文件的都进行删除，如下

[root@kk ~]# cd ~
# 使用Tab键看/root 目录下的隐藏文件
[root@kk ~]# cd .
./                 .bash_history      .bash_profile      .cache/            .mysql_history     .pip/              .pydistutils.cfg   .tcshrc
../                .bash_logout       .bashrc            .cshrc             .oracle_jre_usage/ .pki/              .ssh/              .system-init

此处存在.system-init文件，问病毒文件，需要删除

[root@kk ~]# rm -rf .system-init

[root@kk tmp]# cd /tmp
# 使用Tab键
[root@kk tmp]# cd .
./          ../         .font-unix/ .ICE-unix/  .Test-unix/ .X11-unix/  .XImunix    .XIMunix    .XIM-unix/
[root@kk tmp]# cd .X11-unix/
[root@kk .X11-unix]# ll
# 这个地方存在 0 1 2 三个文件，均要删除
total 0
[root@kk .X11-unix]# 

6.至此，整个病毒查杀已经完成

总结：

1.病毒攻击的服务器存在以下特征：

1. linux登陆弱密码
2. 安装的服务存在弱密码，如：redis,mysql等
3. 服务在公网中暴露，内部使用的应用端口应添加加IP白名单，或仅内网可使用

2.病毒感染的特点

1. 某个进程CPU高达99%
2. 出现奇怪的定时调度任务
3. /root, /tmp 目录下会出现一些隐藏且伪装成系统文件的病毒文件
4. 病毒一般都会有守护进程，可以查询linux服务器上的进程，杀死哪些看着很奇怪的进程(慎重),或者对比正常的服务器进程进行查杀

记一次阿里云服务器中挖矿病毒处理相关推荐

1. 阿里云服务器中挖矿病毒解决办法（已实践）

   1.cpu过高,中病毒了 2.进入Linux连接阿里云服务器 3.使用top命令动态查看cpu占用率 两种情况 1.未发现占用率很高的进程,跳到第七步 2.发现了占用率很高的进程,使用kill -9 ...

2. 阿里云服务器中挖矿病毒处理方法，centos7

   今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿的病毒. 然后我查资料,说是先通过 /proc/pid/exe 找到进程路 ...

3. 云服务器中挖矿病毒了怎么办？

   今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去 ...

4. 阿里云服务器被挖矿病毒minerd***的解决方法

   早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之 ...

5. 阿里云服务器被挖矿病毒入侵处理

   前言 最近个人阿里云轻量应用服务器cpu一直满负荷运行,原来是被挖矿病毒入侵了,这里记录一下和病毒斗智斗勇的过程. 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定 ...

6. 【云服务器】阿里云服务器遭遇挖矿病毒、被远控的解决方法（亲测有效）

   目录 1.阿里云服务器为什么容易被运控,中病毒 2.解决方案(以下只是我个人的理解) 注意:记得重置系统,病毒很难清理干净的 1.阿里云服务器为什么容易被运控,中病毒 相信各位小伙伴们一定也会遇到阿里 ...

7. 阿里云服务器中挖矿木马处理过程

   在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载. 登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程. 因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便 ...

8. 记云服务器中挖矿病毒与防范

   文章目录 前言 大致过程 发现过程 应对措施与防范 前言 我自己的一台腾讯云服务器还有工作室指导老师的电信云服务器都中过挖矿病毒,其特征都是出现CPU拉满的情况. 腾讯云 电信服务器 大致过程 发现过 ...

9. 记一次阿里云服务器被挖矿的经历

   被挖矿 大早上起来,发现被"挖矿"了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 ...

最新文章

1. golang切片传参
2. vue----常用实例方法--$mount(),$destroy(),$watch(),$forceUpdate()
3. MySQL自动备份到本地数据库_MYSQL数据库自动本地/异地双备份/MYSQL增量备份
4. python 如何判断一组数据是否符合正态分布
5. 深入剖析C++多态、VPTR指针、虚函数表
6. 【STM32】FreeRTOS列表和列表项详解
7. 腾讯视频云黄斌：打造toB的产品与运营体系
8. 编程语言的发展趋势及未来方向（4）：动态语言
9. python开发【基础二】
10. 企业战略咨询方法：学习SWOT分析
11. word2vec python 代码实现_python gensim使用word2vec词向量处理中文语料的方法
12. 谈谈Python和其他语言的区别
13. Comet4J推技术在SSHE三大框架中应用-linux下亲测可用
14. iOS开发--字典(NSDictionary)和JSON字符串(NSString)之间互转
15. Execl导出大量数据出现内存溢出的bug,解决方法
16. 各个虚拟机之间免密钥登录
17. Neutron DVR实现multi-host特性打通东西南北流量提前看(by quqi99)
18. CSS3常用功能的写法
19. 【C++】多态之组合与聚合
20. 3an推客CPC怎么设置？3an推客推广效果怎么样

热门文章

1. 总部在新加坡！招AIGC算法工程师、测试工程师，20-35k，STARY等你来！
2. php中rowcount 意思,浅谈PDO的rowCount函数
3. java.lang.NoclassDefFoundError:com/google/common/base/MoreObjects
4. java计算机毕业设计vue学习视频课程网站源码+数据库+系统+lw文档
5. 电路原理实验六：戴维南定理与诺顿定理的验证
6. 推荐系统-通过数据挖掘算法协同过滤讨论基于内容和用户的区别
7. 计算机考研跨考新闻学,研友自述：跨专业考新闻传播学，只用四个月
8. Webservice实践（二）Webservice 客户端开发
9. Eslint报错TypeError: this.cliEngine is not a constructor 解决方案
10. Windows 2000活动目录详解