欢迎光临
我们一直在努力

解决阿里云服务器提示挖矿程序风险

 

今天大早上收到阿里云邮件通知,提示有挖矿程序。一个激灵爬起来,折腾了一早上,终于解决问题了。

其实前两天就一直收到阿里云的通知,检测到对外攻击,阻断了对其他服务器6379、 6380和22端口的访问,当时没怎么当一回儿事,反正是我用来自己学习用的,就放着不管了,结果今天事态就大了。那就来解决吧。

首先xshell连接服务器,这时候输入命令时明显感觉巨卡。

肯定是cpu被占满了,输入 top -c 命令查看有个进程叫 kworkerds。占用了将近100%的CPU。

 

这 kworkerds 是个啥??作为小白的我一脸懵逼。没关系,有问题找百度。

然后就知道了,kworkerds是个挖矿程序,一般是通过redis的漏洞被植入的。网上也搜到了很多解决办法,结合着这些方法,我开始了自己的操作:

1、首先 kill 掉这个进程,先让CPU降下来再说。输入个命令都得卡半天,不能忍。

2、cd到 /tmp/ 和 /var/tmp/ 目录下,把带有kworkerds的文件删除。

一边删除着发现输入命令的时候又开始变卡了。查看进程,果不其然又有个kworkerds进程,果断kill掉。

解决问题过程中这个进程总会反复重启,我就又开了一个shell,时刻监视着进程,一旦感觉输入变卡了,就先去kill掉这个进程

回到 /tmp/ 和 /var/tmp/ 目录下,发现删掉的文件又自动生成了。嗯……接着折腾

3、网上搜到会和crontab有关。好嘞,咱看看crontab有啥,删掉不就好了。然后:

嗯………………………………一定是我打开的方式不对。

4、找了半天原因,最后回到进程里查看,啊,原来是这样

是www-data这个网站用户被黑了。好吧,放下手上的活,重置个密码先。

5、输入 crontab -l -u www-data ,如下:

木马时时刻刻都在请求这个服务器下的一个mr.sh 脚本。脚本下载下来,打开看了下。

作为一个小白,虽然不大明白其中意思。但跟网上搜到的差不多,就是这个脚本不断地在生成 kworkerds文件。

6、把crontab关掉,我的www-data用户没有其他的定时任务,所以我直接执行了 crontab -r -u www-data

重复1、 2 步骤,该删的一个不留。

需要注意的是,/tmp/ 和 /var/tmp/ 目录下,所有者是 www-data 的文件都可能有问题。

除了自己能确定没问题的,其他都删掉。不要只删除 kworkerds 文件。

然后就惊喜的发现—— 删掉的文件又回来了,kill掉的进程又重启了。WTF!!

7、重新理一遍头绪。回想起了,这个病毒很可能是通过redis来攻击的。

好,那就先把redis关掉吧。然后再重复 6、 1、 2 步骤。

然后…… 问题终于解决了!

到我写这篇文章时,没有再出现这个问题。

我想之后我应该会重新装一遍redis,然后好好学一学管理redis的知识,让服务器更安全,防止再次被攻击吧。

 

 

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:解决阿里云服务器提示挖矿程序风险
文章链接:https://www.jmwz.net/4733.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址