太伤心了,我的测试服务器居然被挖矿程序攻击了
贫穷的我哪有什么矿??挖矿程序,我恨
你不仅掏空了我的钱包,也薅光了我的头发(呜呜呜......
言归正传,我要记录一下清除挖矿程序的过程
1. 找到挖矿进程
top查看cpu使用情况
一开始倒没啥异常,等待片刻就发现有个奇怪的1196进程悄咪咪地占用大量CPU资源
于是我 pkill 1196 杀死对应进程
2. 删除挖矿程序
find 找到进程对应文件夹,rm -rf xxx删除
3. 彻底删除定时程序
这玩意儿会自动重启,因为有定时任务
crontab -l 查看定时任务
crontab -r 删除定时任务
4. 检查用户列表,.ssh文件,开机启动
cat /etc/passwd 检查是否有未知用户
cat ~/.ssh/authrized_keys 检查是否对未知用户授权
cat known_hosts 检查是否有未知的用host
/etc/rc.local /etc/rc.sysinit /etc/inittab /etc/profile
检查一下这些开机启动的系统配置目录下面有木有挖矿程序的脚本