我的伺服器接連被黑客攻擊,我好難

bingfeng發表於2020-11-17

最近在幾臺測試伺服器上跑一些業務資料,但是過了幾天伺服器突然變的奇慢無比,敲個命令就像卡殼一樣,有時候甚至都連線不上,最開始我以為是網路問題,就強行kill掉程式,重新跑一下程式,最後實在受不了,就上阿里雲後臺說重啟下伺服器吧,結果看到CPU的佔用率已經到達了100%。

這是CPU是恢復正常之後截圖

看到這樣我以為是因為我跑了大量的資料導致CPU飆升的,然後我就kill到了程式,並且重啟了伺服器,啟動之後CPU正常,我以為就是我跑資料導致的,此後我就沒用這臺伺服器跑資料了,我就單純的以為這就算處理好了,沒想到等我過幾天部署測試包的時候發現,又是奇慢無比,看了下CPU佔用率又是99.9%,事實證明我還是太年輕了。

終於忍無可忍,就深究下吧,先用linux命令(top)檢視下,到底是什麼佔用了這麼多CPU資源,結果如下圖:

看到的瞬間第一感覺就是,這是啥玩意,這是誰部署的。問了下平時身旁的背鍋俠,好像也不是他弄的,看來這次這鍋是甩不了了,那就只能...

What?中病毒了?

根據過往的經驗,這玩意不應該是點了網頁上的小姐姐才會發生的事情嗎?我這為什麼也就中毒了。

這東西是啥

既然已經中毒了,那就來看看這是什麼東西吧。

挖礦病毒,大家身在同一個工地都應該或多或少都聽過挖礦吧,要是挖到個幣,就不用苦逼寫文章了,話說回來,要想挖幣需要很強的計算資源,那麼也就需要眾多的伺服器來支撐,這裡面有些逼呢又不想投入太多,只能通過一些惡毒的手段,將指令碼植入的我們的伺服器,比如我們需要安裝一個Redis,那麼像我英文不太好的人,可能第一時間不是去官網,而是找度娘,如果你正好找的資源裡面被人植入了這種東西,那麼很不湊巧,你的伺服器可能要幫別人搞點東西了。

如何處理這種病毒

既然中了這種病毒,導致我們的伺服器很卡,那麼肯定要將它殺死,可能沒怎麼接觸過Linux的同學,已經考慮重灌映象了。

其實大可不必。

首先呢我們找到此程式將其kill掉。

接下來刪除kdevtmpfsi檔案,一般在tmp目錄下

還有一個檔案(kinsing)我們也要將其殺死刪掉

這裡需要注意,我試了幾臺伺服器kinsing檔案可能存在不同的位置,但是我們可以通過上面的方式看到檔案路徑,將其找到刪除就好。

這個時候我們通過top檢視CPU的使用率,可以發現已經正常了


就在我以為萬事大吉的時候,現實又給了我沉痛的一擊,沒過幾分鐘CPU使用率又到了99.96%,我要崩潰了。

跟度娘經過深入交流之後,終於知道了問題所在。

檢視伺服器的定時任務,crontab -l,大概會看到如下的任務,沒有就不用管了,你可以將此ip查一下,一般都是國外的ip。

我們將這些定時任務刪除即可,這個連結就是在我們kill到程式、刪除檔案之後進行下載,然後通過指令碼再跑起來。

這也就是為什麼我明明殺死了病毒,沒過多久又出現了的原因。

到這裡我們已經完全處理到此病毒了,如果你用的是阿里雲ECS,當遇到這種東西的時候,其實會簡訊通知你,只不過當時太年輕沒怎麼在意,另外伺服器埠預設是22,自己最好改個埠,不然很容易被惡人攻擊。

現在伺服器敲起來賊爽,再也不卡頓了。


更多精彩內容請關注微信公眾號:一個程式設計師的成長

相關文章