阿里云——云安全中心安全事件提醒:挖矿程序

近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。”

登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。

查阅/etc/crontab、/etc/cron.d和/var/spool/cron,后两个目录下的名为root的文件被写入了三个任务计划,是下载一个shell文件并执行。通过查看这个shell文件,程序又从网站下载了一个可执行文件crloger1到/tmp,其属性被置为+ia。

用pstree命令又发现了一个名为migrations的异常进程,文件位于/etc,注意不是migration,也是杀死之后又重新启动。

处理步骤:

修改root密码;

~/.ssh/出现了不认识的authorized_keys,改属性后删除。

删除连接网站下载文件的任务计划;

执行chattr -ia chloger1;

杀死httpdz和migrations,删除/etc/httpdz、/etc/migrations和/tmp/crloger1。

系统没有设置redis密码。设置redis密码, 限定可以连接redis的IP, 改redis默认端口6379。如果不用redis,干脆停掉也行。

观察了24小时,阿里云没有再推送警告。

 

 

  • 1
    点赞
  • 4
    收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:编程工作室 设计师:CSDN官方博客 返回首页
评论

打赏作者

iamcool345

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值