话不多说上干货
突然发现服务挂了,服务器无法登录,直接在管理平台重启后登录
检查服务器
top 查看当前服务器情况
发现异常,kswapd0把cpu干爆了
网上查了一圈发现这特喵的是挖矿病毒 惊呆了
接下来是我自己的查询网上以及自己摸索的一些方法
第一步 删除定时器里的定时任务
查询是否有异常的定时任务
crontab -l
如果有可以进行删除
crontab -e
如果自己没有设置过定时器,直接进行删除
crontab -r
以下我定时器中的异常定时任务
第二步 删除掉定时器中的异常目录
rm -rf /root/.configrc4
rm -rf /dev/shm/.Xkal/.rsync/c/aptitude
第三步 查询异常进程与文件,对其进行删除
find / -name kswapd0
ps -ef | grep kswapd0
查询进程,将相关的进程直接kill -9 pId杀死
第四步 查询挖矿病毒文件
find / -name kdevtmpfsi
对其进行删除,如果删除不掉,可以尝试查询进程
ps -ef | grep kdevtmpfsi
kill掉后再进行删除,如果再无法删除
用chattr去掉文件属性
chattr -i kdevtmpfsi
直接对文件进行删除
第五步 查询服务器是否有异常的公钥
cat ~/.ssh/authorized_keys 查看是否有陌生的的公钥,有则删除掉
安全建议
尽量用密钥连接服务器,禁用账号密码连接,修改默认的22端口。
封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
密码增强复杂性,别用什么 1q2w3e之类的,这些都的常用的破戒字典也有的。
及时修补系统和软件漏洞
观察几天如果没问题就没事了