阿里云——云安全中心安全事件提醒:挖矿程序

近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。”

登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。

查阅/etc/crontab、/etc/cron.d和/var/spool/cron,后两个目录下的名为root的文件被写入了三个任务计划,是下载一个shell文件并执行。通过查看这个shell文件,程序又从网站下载了一个可执行文件crloger1到/tmp,其属性被置为+ia。

用pstree命令又发现了一个名为migrations的异常进程,文件位于/etc,注意不是migration,也是杀死之后又重新启动。

处理步骤:

修改root密码;

~/.ssh/出现了不认识的authorized_keys,改属性后删除。

删除连接网站下载文件的任务计划;

执行chattr -ia chloger1;

杀死httpdz和migrations,删除/etc/httpdz、/etc/migrations和/tmp/crloger1。

系统没有设置redis密码。设置redis密码, 限定可以连接redis的IP, 改redis默认端口6379。如果不用redis,干脆停掉也行。

观察了24小时,阿里云没有再推送警告。

 

 

©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页