一天,午休时间,突然一线传来噩耗:网站无法访问!图片来自Pexels。这个项目是我负责的,用于线上服务器。属于迅云,运行Tomcat、MySQL、MongoDB、ActiveMQ等程序。在调查过程中,我立即以150+的手速打开了服务器。看到tomcat挂了,然后自然重启。在启动过程中直接被kill掉了。又试了下数据库,也没有成功。我尝试了很多次,甚至重新启动机器都没有成功。水果。机灵地敲了Top,出现了下面的内容:Whorunthisprogram?不管怎样,先把它杀掉,因为它是Tomcat等程序无法启动的罪魁祸首。但是,鸡蛋没有用。过一会再看那个东西就跑出去占cpu了。我怀疑是定时任务:什么鬼,是图片吗?我马上去看了看:好尴尬,但我知道事情没那么简单,一定是伪装而已。crul原来是下面的脚本,进程是挖矿的:有兴趣的同学想查看上面的完整源码,在命令行运行如下命令(不分操作系统,方便安全无污染):由于知道是定时任务,先取消,看看是谁在运行:kill,找到存放目录:进入临时目录:找到配置文件了,先看看内容:惊了找了很多资料。user是他Server的登录用户,密码在下面,可惜是加密的,不过应该是找不到对方的。算了,我暂时不跟你争论。杀完这两个文件,查看Top:解决方法是找到寄生目录,一般在tmp,我的在/var/tmp/。先killcrontab,kill进程,然后删除生成的文件。启动Tomcat等程序,大功告成!等等,这远远不够。考虑到你的服务器在可以挖矿的前提下被黑了,最好修复漏洞,否则杀进程删文件,当黑客从后门进来敲历史的时候,他们都知道你做了什么修复方法。所以上述方法是治标不治本。我跟进了以下工作:将所有软件升级到新版本。修改所有软件的默认端口号。打开ssh/authorized_keys并删除未知密钥。从用户列表中删除不熟悉的帐户。屏蔽他的ip。SSH使用密钥登录,禁止密码登录(这个一般是一个人加运维的秘钥)。顺便说一句,本次攻击是由于ActiveMQ低版本开放的61616端口存在漏洞,请记得优化。遇到挖矿木马最佳解决方案:镜像主机,找出病毒木马,分析入侵原因,检查业务程序,重装系统,修复漏洞,然后重新部署系统。写在最后是网友提供的一劳永逸的终极解决方案:把自己的挖矿脚本挂上运行,别人挂了脚本也运行不了。
