linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启。
只能上网搜索,初步解决方案如下:
一、定位攻击服务器的ip
首先root,然后进~/.cache
,使用netstat
命令查看访问的历史ip,查看是否有可疑
$ netstat -antlp
发现一个非常用的ip的访问
二、禁用该ip段的访问
使用ufw
禁用该ip段的访问,并且添加自己实验室ip的白名单(感觉重复了)
$ ufw deny from 10.12.11.0/24
$ ufw allow from 10.12.49.0/24
$ ufw allow from 10.12.43.0/24
之后重启下防火墙,并查看规则是否激活
$ ufw reload
$ ufw status numbered
三、禁用挖矿程序的自启
使用crontab
查看所有用户下的自启程序
$ cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
因为是root账户被植入了自启程序,直接删除该自启程序
$ crontab -r
之后再次查看时候还有自启程序
$ crontab -l
四、终止并删除挖矿程序
使用top
查看挖矿程序的PID为1557,那么使用kill -9 1557
强制关闭程序
之前定位了~/.cache
下的Python
文件夹,因此进入~/.cache
直接删除
$ cd ~/.cache
$ rm -rf Python
五、总结
至此,挖矿程序的关闭删除和防御告一段落,能否起效只能等待时间的考验,很想对着这个可疑ip查查到底是谁干的,但是考虑到ip可能是跳板机,就算是真人也并不会承认,还是尽量做好被动防御吧~