Ubuntu服务器被挖矿历程
警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了!
问题:
情况是这样,服务器有一段时间没用,后来想要ssh登录的时候发现自己的账户死活登不上去,然后在2020年11月20日,ssh使用root账户登进去了,密码超级简单!这个时候用htop是下面这番景象:
一个叫top的进程稳定占用了一半cpu,我把top杀掉之后,过几分钟又启动了。
想办法解决:
有一种操作是根据PID,然后
cd /proc/PID/
ls -l exe
可以看到程序的路径,然后我当时的top是在/lib/top下面,我跑去把它删了。但是不一会儿它又启动了,再用同样的办法找top,发现路径变了…
说实话看了很多文章,觉得他们讲的都太复杂,我没研究过网络安全,那些骚操作真的搞不懂。一时间束手无策,不过好在有了转机。。
查Google
把top文件从服务器下载到本地之后,上传到 www.virustotal.com 比对了一下,如下图:
图中,下面列出来的是可以查出这个病毒的软件,既然自己解决不了,不妨交给杀毒软件算了,Linux上面有哪些杀毒软件能用呢?
https://blog.csdn.net/daqiang012/article/details/90635825
在这里看到了ClamAV,而且ClamAV是可以找出我这个病毒的!所以接下来装杀毒软件,让杀毒软件帮我去干掉这玩意。
装杀毒软件并杀毒
说实话,我挺害怕的,我觉得装起来可能会很复杂,有些博文写的要通过源码编译啥的,太复杂。
apt get install clamav clamav-freshclam
这一句话基本上就装好了,但是还需要下载病毒库:
wget http://database.clamav.net/main.cvd
wget http://database.clamav.net/daily.cvd
wget http://database.clamav.net/bytecode.cvd
通过这三句就把病毒库下载了下来,然后使用把这三个文件放到/var/lib/clamav/目录下面,病毒库就好了。
最后全盘查杀并删除:
clamscan -r --bell -i / --remove
# remove会让软件把找到的病毒文件全部删掉
总结
这个解决思路比较简单,适合小白,但是最关键还是注意安全!不要使用简单密码!!!也不要把自己的机器端口暴露在公网!