求助 服务器被挖矿!
- 0次
- 2021-06-17 22:00:53
- idczone
占用 cpu100% 杀死进程 , 删除异常文件,1 小时后自动创建异常文件,啊啊啊啊啊,降维打击!!! 求大佬
重装 100%解决问题
还有记得用证书登陆 SSH 或者 fail2ban
备份数据,重做系统。
重做系统吧 然后更换 ssh 端口 证书登录 修改密码或者停用 root
crontab -l
会不会有个定时任务,自动复活挖矿病毒?
当年下班前在阿里云的服务器上装了个 redis,没来得及配置结果吃了个饭的功夫就被黑了
阿里云的 redis 端口没做防护,被美国网址扫描到了,然后就被挖矿了,,,
查看你的定时任务删掉,然后很多二进制文件被替换可能
第一步要把他往.ssh/authorized_keys 中写的内容干掉,如果 root 删不掉,记得用 chattr 改下属性。
关掉 redis
修改 hosts 把挖矿地址指到 127.0.0.1
接着删掉 crontab 中的内容
清理 tmp 下的挖矿脚本
redis 加密码,做好安全组防护
秘钥登录
镜像还原
我很好奇,它是怎么做到 1 小时后自动创建异常文件的。
我所知道的。 通过
1. 的 crontab -l,
2. 如果是 debian 的服务器,注册 启动的 service 在下次启动的时候创建异常文件
3. 还有就是通过 /etc/rc.local 来创建文件?
4. 进程存在恶意程序,定时创建异常文件?
5. 通过 ssh 的证书登入,scp 来进行创建文件?
这是什么病毒,能很好的做定时任务的重启,我表示很想学习以下
还有替换系统自带的命令的
开 ssh,让我上去看看
它会改你的二进制文件,甚至 cd,ls 都是动过手脚的,最简单的就是重装,加强安全防护
1. 你的服务器可能存在某个漏洞,导致黑客能够随时入侵并植入恶意软件。2. 黑客给你的服务器设置了某种后门,即使 kill 进程后也会自动下载运行挖矿软件。
oh , 估计百分之八十可能 redis 未设置密码, 然后 端口开放到公网了吧?
CTRL+回车 怎么就发送了呢.
检查所有用户的 crontab 删除之 , 然后删除异常文件 , redis 设置密码, 不对公网开放 . 修改 ssh 默认端口. 重启 ,解决问题.
如果是 root 进程的,那么重装吧,没有更好办法啦.
如果是普通用户就全部干掉.
唉,我买的 2 个外网 vps 都被黑了,厂商直接关掉我 vps
别用一键脚本,自己重装系统
echo 0 > 挖矿脚本
这样一般可以暂时解决问题
可能楼主已经解决了,我写一下我的解决方案吧。
1 )先用 top 或 htop 命令查看异常进程的 PID 、用户( USER )、执行文件( FILE )。
2 ) kill -9 PID (强制停止异常进程),sudo rm -rf FILE (删除异常进程的执行文件)
3 ) crontab -l (查看定时任务,解决自动恢复,不过一般定时任务没问题, 编辑定时任务用 crontab -e)
4 ) su root ; passwd -l USER (切换 root,并锁定异常账户登录,恢复登录用 pass -u USER)
下面的是重点,用来处理复现问题。
5 ) cd /var/spool/cron/ && ll (进入定时任务目录,查看上面 USER 的定时任务,如果确定不是自己创建的,用 rm -rf 命令删除,并排查一下其他用户的定时任务(尤其是 root ))
6 ) cd /etc/cron.d/ && ll (用 cat 查看这里的定时任务文件或脚本,找到自动恢复病毒的文件,直接 rm 删除)
这里说一下,1:尽量不要用一键脚本,或者用前先读一遍,防止中招(感觉要是会,谁还用一键脚本?所以,建议不用) 2:对于宝塔一键面板,谨慎使用,尤其是第三方个人开发的免费插件(我在第三方插件中发现过挖矿脚本) 3:不必要的端口尽量不要开,避免被扫到。很多时候我们的服务器不做处理,在一些人眼里简直就像裸奔一样。
感谢老哥,时间过了,不能投币了