欢迎光临
我们一直在努力

云服务器CPU一直高占用,病毒排查,服务器被黑,服务器中挖矿病毒,挖矿机xmrig病毒排查及解决

收到阿里云发来的通知“【挖矿处置通知】请尽快整改云服务挖矿活动”,”经检测您的阿里云服务器上存在疑似挖矿活动……”;盖帽的话不说了,直接上排查思路及解决方法;

1、先用top命令查看一下服务器资源情况,发现一个进程一直持续cpu:200%;记录下pid。然后先skill 掉试试,cpu恢复正常后,马上又启动了新进程;

2、然后推测是有定时任务或者某些机制进行触发的启动,先检测一下定时任务:

这里注意使用:crontab -l 查询到无定时任务,然后由于进程的User是 git ,然后换成: crontab -u git -l 果然出现了 定时任务的痕迹。

3、定时任务先别着急删除,先看看里面是什么情况,从这里面看到了 run脚本。。。

4、注意,这里的/…/.x/是目录,通过ls命令无法查看到,直接通过命令进入即可,run脚本如下:

5、从run脚本中发现 ip,还有 xmrig ,哈哈。再通过ps 查看一下进程看看情况,

进程号和top出来的是同一个进程,并且是xmrig进程,不知道这是什么的可以搜索一下,矿机病毒;

6、搞清楚cpu消耗高的来龙去脉后,开始解决:先删除掉定时任务,再删除掉病毒相关脚本,再屏蔽攻击ip,然后杀掉进程,观察新进程并没有重启,一切恢复平静。

7、解决完这些还需要在服务器期安全方面进行优化,防止二次攻击,思路很多种,这里就不一一列举了,第一是担心被喷,第二是担心被破坏的人看到,便于再次进行攻击。

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:云服务器CPU一直高占用,病毒排查,服务器被黑,服务器中挖矿病毒,挖矿机xmrig病毒排查及解决
文章链接:https://www.jmwz.net/3991.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址