服务器挖矿病毒查杀排查手册

生产紧急问题可私信博主

背景

好几个朋友都找过我说自己的服务或者网站异常的慢，甚至于无法访问

分析

拿到服务器权限登录服务器，执行top命令，发现存在100%cpu占用进程，cpu idle为0

看到此时基本很明确服务器存在挖矿程序

查杀

很多朋友首先想到的就是杀掉进程，但是真正查杀时发现程序不断变换名称并重启，让人摸不着头脑。

学会一下几步，我们就能干掉90%的挖矿病毒（以centos为例）

1.关闭定时任务 systemctl stop crond，清理定时任务

2.如果病毒为某应用cve漏洞进入，则需要关闭对应的进程

3.定位病毒目录，rm清理

4.杀掉程序进程

5.清理异常用户 /etc/passwd

6.清理用户下未知来源公钥 .ssh/authorized_keys

安全加固

分析挖矿来源 mysql/pgsql/redis/gitlab/ssh等等

通过配置防火墙策略把不需要暴露的端口drop掉

反制

接下来如果有兴趣的朋友可以通过我们应用的访问日志来分析异常访问我们的ip，拿到ip之后可以对ip进行一系列溯源扫描操作，至于什么操作，可以自己探索研究，正常的我们拿到ip之后就可以对此ip进行加黑，以防止再次入侵我们服务。