前言突然收到阿里云的短信,说服务器出现恶意挖矿程序。好在这台服务器是测试服务器,之前也做过数据备份,大家可以放心完成,不过还是要小心,认真操作前记得备份处理过程1.检查服务器负载和CPU利用率,并确认挖矿程序进程。执行命令:top,如图:发现有一个network01占了87%的cup,但是我在服务器根目录下的tmp下没有看到这个东西。PID进程号由上面确定,查看进程所在目录。执行命令,并没有明确的位置,可以看到可执行文件linkll/proc/processID,然后直接通过find/-namenetwork01找到如下位置,确实是在目录下找到network01强制kill该位置挖矿进程,删除挖矿程序的可执行文件network01,怕误删备份(留下遗憾);查看防火墙是否有挖矿程序地址,清除恶意地址iptables-L-n3,查看端口安全状态是否异常netstat-aulntp开始怀疑这个IP133.11.244.74是什么,查询后是你的publicnetworkip查看你的公网IP国内网站:http://ip138.com4.查看服务器的定时任务中是否有攻击者添加的定时任务,并对可疑的定时任务文件进行处理,防止crontab二次入侵——l和cat/etc/crontab5.检查服务器启动项中是否有可疑程序,确保服务器重启后不会出现问题cd/etc/init.dcat/etc/rc.d/rc.local6.查看linux系统用户是否被添加到其他root级管理员用户cat/etc/passwd#用户名:密码:用户ID:组ID:注释说明:主目录:登录Shell7,查看服务器root是否启用远程权限,生产环境的服务器PermitRootLogin要设置为nocat/etc/ssh/sshd_config8。检查SSH公钥中是否存在挖矿病毒,防止后门不断。cat/root/.ssh/authorized_keys9.阿里云服务器安全组配置的端口安全策略,开放80和443端口,其余SSH端口放行IP。当需要登录服务器时,进入阿里云后台添加发布的IP,尽量防止服务器被恶意登录。版本定期升级和bug修复,系统后台登录经过二次密码验证,防止系统出现SQL注入漏洞。为防止挖矿病毒重复感染内网其他服务器,也可以参考阿里云的挖矿程序实践文档:https://www.alibabacloud.com/help/zh/doc-detail/161236.htm程序删除了挖矿程序执行文件,强行杀死挖矿进程。计划任务、启动项等项目均未发现可疑。可能是黑客。.....总而言之,必须做好服务安全防范,防止恶意服务器攻击。最后,希望这篇文章对你有所帮助!
