qW3xT.6解决挖矿病毒 – 云服务器被植入挖矿脚本成为矿机[通俗易懂]

qW3xT.6解决挖矿病毒 – 云服务器被植入挖矿脚本成为矿机[通俗易懂]## qW3xT.6解决挖矿病毒-云服务器被植入挖矿脚本成为矿机>之前由于goblog应用因为不知名问题导致程序crash,之前只检查过云服务内存的情况,但是其他信息暂未检查,今天远程到腾讯云服务器上top了下当前应用进程情况,突然发现首位的cpu彪到了84%,仔细一看进程名一头雾水>>当时还以为是腾讯云服务器运行的后台的守护进程在监测什么数据,赶紧将进程名搜了一把发现原来是机…

大家好,欢迎来到IT知识分享网。## qW3xT.6解决挖矿病毒 – 云服务器被植入挖矿脚本成为矿机 > 之前由于goblog应用因为不知名问题导致程序crash,之前只检查过云服务内存的情况,但是其他信息暂未检查,今天远程到腾讯云服务器上top了下当前应用进程情况,突然发现首位的cpu彪到了84%,仔细一看进程名一头雾水 >
006tKfTcgy1g104dtoer4j31rg03mdmn.jpg > 当时还以为是腾讯云服务器运行的后台的守护进程在监测什么数据,赶紧将进程名搜了一把发现原来是机器被人植入了挖矿脚本^-^ ### 解决方法 当时查到是病毒进程后第一时间通过`kill`将对应的进程给处理掉了,原以为打完收工问题解决,但是神奇的是过了没多久发现这个进程又出现在了top榜首
006tKfTcgy1g104n3vlmnj31qq056k14.jpg 随后通过`ps -aux|grep qW3xT.6`发现该文件位于`/tmp/`下
006tKfTcgy1g104pfqt8zj30ne0aqn31.jpg 二话不说赶紧执行`rm -rf /tmp/qW3xT.*`将脚本删除掉然后将进程kill掉,我想这下应该好了吧,结果该死的qW3xT.6进程又出现了,回头想想是不是有什么定时脚本在执行,于是列出了服务器所有的cron任务列表,结果
006tKfTcgy1g104toeie4j30oq034dgb.jpg 原来服务器被人植入了一个定时任务job,通过job中的url拿来一访问发现这个定时任务会定时从远程服务器上去拉取脚本,然后执行对应的任务,对应脚本地址:http://104.248.251.227:8000/i.sh
006tKfTcgy1g104vz0u0jj31dc0u015r.jpg 为什么会有人能将Job通过root权限写入机器呢,表示很不解,登陆到腾讯云后台发现有安全入侵检测记录
006tKfTcgy1g1050i2gdoj31ta0i4jui.jpg 居然被人暴力激活成功教程了root用户,尝试了1300次。。。。发现腾讯云这个安全做的真是好极了!!! 接着通过`crontab -e`将对应的任务Job删除,kill掉对应的挖矿进程,然后修改root密码,至此挖矿病毒问题终于被移除了,通过观测top信息再也没出现过类似进程。
006tKfTcgy1g1054kfiydj30z005877u.jpg

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/26556.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信