集美网收到阿里云发来的通知“【挖矿处置通知】请尽快整改云服务挖矿活动”,”经检测您的阿里云服务器上存在疑似挖矿活动……”;盖帽的话不说了,直接上排查思路及解决方法;
1、先用top命令查看一下服务器资源情况,发现一个进程一直持续cpu:200%;记录下pid。然后先skill 掉试试,cpu恢复正常后,马上又启动了新进程;
2、然后推测是有定时任务或者某些机制进行触发的启动,先检测一下定时任务:
这里注意使用:crontab -l 查询到无定时任务,然后由于进程的User是 git ,然后换成: crontab -u git -l 果然出现了 定时任务的痕迹。
3、定时任务先别着急删除,先看看里面是什么情况,从这里面看到了 run脚本。。。
4、注意,这里的/…/.x/是目录,通过ls命令无法查看到,直接通过命令进入即可,run脚本如下:
5、从run脚本中发现 ip,还有 xmrig ,哈哈。再通过ps 查看一下进程看看情况,
进程号和top出来的是同一个进程,并且是xmrig进程,不知道这是什么的可以搜索一下,矿机病毒;
6、搞清楚cpu消耗高的来龙去脉后,开始解决:先删除掉定时任务,再删除掉病毒相关脚本,再屏蔽攻击ip,然后杀掉进程,观察新进程并没有重启,一切恢复平静。
7、解决完这些还需要在服务器期安全方面进行优化,防止二次攻击,思路很多种,这里就不一一列举了,第一是担心被喷,第二是担心被破坏的人看到,便于再次进行攻击。
