码迷,mamicode.com
首页 > 系统相关 > 详细

linux 服务器发现了挖矿病毒

时间:2019-10-06 18:28:53      阅读:219      评论:0      收藏:0      [点我收藏+]

标签:att   设置密码   问题   ls -l   清除   异常   src   nta   更新   

1.发现病毒

近日,因为自己搭建的个人网站做了一版更新,准备去服务器做部署。连接服务器的时候明显感觉到消耗的时间比以往要久,半天才响应过来。

在测试网络没有问题之后,随即使用top命令看下进程情况,结果如下图所示

技术图片

 

整齐划一的进程,且自己没有做过这样的部署。发现不对劲,于是马上使用kill命令干掉这些进程。神奇的事情发生了,这些进程就像不倒翁一样,几个kill命令过去它们又重新站了起来。

2.解决问题

于是立即将问题反映给了百度,得出结论,这是一个挖矿病毒 sysupdate

2.1定位病毒

1.使用top命令得出进程号(PID)

2.使用命令ls -l proc/{进程号}/exe得出文件位置

2.2清除病毒

1.使用 rm 命令直接删除,会发现提示无法删除,应该是使用了chattr命令将文件锁定了

使用命令: chattr -i {文件名}  即可正常删除

2.在/etc/目录下还发现一个守护进程文件  /etc/update.sh 也一并删除了

3.检查是否还有免密登录的后门文件   /root/.ssh/authorized_keys 也一并删除

4.检查定时任务  crontab -l 将可疑任务清除

最后将服务器重启,检查是否还有异常

3.总结

此次挖矿病毒事件可能是由于redis服务未设置密码导致的,由于redis还没有正式投入到业务中,所以产生了这种疏忽。

这大概就是细节决定成败了。

安全无小事,希望大家都能避免此类问题的发生,发生也能够完好的解决。

 

linux 服务器发现了挖矿病毒

标签:att   设置密码   问题   ls -l   清除   异常   src   nta   更新   

原文地址:https://www.cnblogs.com/ushowtime/p/11628002.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!