[Ubuntu] 记一次服务器被矿工光顾的排查过程

开始

测试反馈,接口请求超时,一直转圈圈。初步怀疑是服务器问题。要么进程down掉,要么服务器有任务在跑。

问题排查

1.top
发现有个进程ssh-daemon 占用率达到199.0% 初步确认进程问题。
2.pidstat
查看不出什么问题来。跟top差不多。
3.kill -9 
运行kill命令,将进程杀死,然后重新运行top命令。我擦 这货又出来了。怀疑被人动了手脚。
3.crontab -e
进入crontab,发现这么一行:
`* * * * * /bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nu/ssh-daemon &> /opt/nu/log &"`
所以就是他了。

解决问题

首先,删除crontab 保存。

* * * * * /bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nu/ssh-daemon &> /opt/nu/log &"
`:wq` 保存。

将安装目录删除。命令:

进入文件夹
cd /opt/nu/
ls -al 
发现执行文件ssh-daemon.
删除之。
另外发现 service文件,`cat` 查看 发现就是crontab中的那行命令.
删除.
还有个log 删除.

清除进程

执行命令: ps -ef | grep ssh-daemon | grep -v grep | awk '{print $2}' | xargs kill -9
再次top
发现CPU正常.

记一次服务器被矿工光顾的排查过程

排查其他问题

网上查阅 发现有很多人都中了招.阿里云服务器会报警.但是我的服务器不是通过阿里云买的,没收到报警.
网站入口排查
进入 ssh 目录 `cd /root/.ssh/` 
`cat authorized_keys` 发现不知名的key.删除之.
`cat known_hosts` 发现host 删除之。
原有目录排查。
执行命令`cd /opt` `ls`
发现一个红色的zip包。解压。

记一次服务器被矿工光顾的排查过程

`cat service` 发现就是那个命令。然后百度了xmrig.这尼玛是门罗币挖矿工具啊。
全部删除。

原理

初步思考是通过git克隆了程序然后mv换了名字,最后直接加入crontab。

安全性

网上说 redis漏洞会导致这个问题, 最好修改redis的端口与绑定ip.还有就是最好禁止掉服务器的git.
因为之前我下载了个phpRedisAdmin 怀疑是这个程序内部有问题。等回头看下吧。现在先修改服务器密码了。
本作品采用《CC 协议》,转载必须注明作者和本文链接
风起于青萍之末 浪成于微澜之间
南城以南
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!