发现
敲代码的时候阿里云来了个电话,说你的服务器疑似挖矿,还发了个邮件,
人直接懵了,就去阿里云看看,一看cpu直接一直100%,
开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键)
还发了安全警告
解决过程
上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除挖矿病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪个进程占了很多CPU资源,结果top工具直接卡的完全没发交互,而且上面显示的都很正常……然后下了个htop查看,不过这个工具能查出总cpu使用率是100%,但查不出哪个进程占了那么多。
好在不断在网上搜,搜到了解决方法:
-
使用netstat -anp |grep ESTAB查出一个ip对应的进程被隐藏了,而这个ip地址是在荷兰的,就引起了注意
-
下载unhide工具,使用他找出隐藏的进程
-
查出来一群名字是[kswapd0],上网搜kswapd0,发现是管理虚拟内存的,这就让人很无奈了,好在坚持去看文件所在目录,发现这个文件最后修改时间和cpu暴涨的时间对应上了
-
然后查看了里面一个json文件的内容,发现里面有个url对应的数据是发出安全警告中的那个url,这下就确定这些文件是挖矿的了
-
关闭进程,删除文件就OK了(只关闭进程立马会重新运行……得删掉文件)