有一次,我们在阿里上的服务器收到这样的短信。
【阿里云】尊敬的xxxxxx:
经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。
若您有其他问题,可登陆阿里云官网在线咨询
这就是中了挖矿病毒,如何处理它?
第一步:看是否有消耗cpu的进程
用top命令看CPU进程
果然很厉害,杀了它
kill -9 32607
第二步 :看有没有定时任务
(1)用下面这个命令:
crontab -l
有这么多命令啊。。。
(2)别急着删除,仔细看清楚目录。一个一个删除
rm -rf /root/.configrc
rm -rf /dev/shm
(3)然后用下面这个命令
crontab -e
然后跟vi一样操作,把内容删除掉
第三步:有问题的端口号
systemctl status 有问题的端口号
比如top看到的是这个
我们现在就看27258这个进程
往下翻,看到这里(27258)
进这个目录,把所有东西删除
第四步:然后 最好安装一下ClamAV 扫一下,有没有其他病毒
参考下面这个链接:
【Linux】安装杀毒软件(漏洞扫描工具)ClamAV 并配置邮件告警操作指南-CSDN博客
这里提炼几个步骤
#安装
yum -y install epel-release
yum -y install clamav clamavd clamav-update
#更新病毒库
freshclam
以上命令可以不需要-l参数
clamscan -i -r /data/
clamscan -i -r /data --remove=yes
第五步:限定22端口的访问ip,免得别人再进来。
这个地方填写你的IP地址就好了。
最后:别忘了改用户密码
命令:passwd [用户名]