今天阿里云发短信,说服务器发现挖矿病毒程序。我们来看看。怎么回事。
发现。postgres 用户启动了一个进程文件。这个文件,占用cpu非常高。就是他了。
我们来看看,他的启动路径在哪里?
发现。tmp下。这个config 文件,有问题。并不是postgres 的程序。
./postgres_dm
/tmp/rumpostgreswk --config=/tmp/config.json
发现这两个文件。就是病毒。
找到对应的路径。在/tmp下面。
发现这个文件夹里面很多都是异常文件。
清理处理掉这些异常文件。
kill -9 查杀掉对应的挖矿程序。
设置postgres 复杂密码。OK。
分析:
分析原因,因为postgres 的用户名和密码非常简单。估计多半是被破解了。然后以postgres 用户运行了挖矿程序。且pg端口被暴露在公网上。导致中招。
尽可能,设置复杂的postgres 密码。尽量不要将pg端口暴露在公网上。
杀除后,CPU恢复正常。没有被高占用了。