服务器挖矿病毒
最近正在开发一个线上刷题的社区,部分功能也是做了上线部署,云服务器使用的是京东云。其实在之前就出现过被挖矿的现象,具体体现为CPU使用率飙高,现象如下图所示:
这里我的CPU使用率已经到了百分之百,处理一个命令要等好久,至于内存使用率很高是因为我将项目和中间件部署在上面,与挖矿病毒基本无关,它主要攻击的是CPU而非内存。上次被攻击,我将c3pool这样一个文件夹删了,然后输入top查看进程杀死了它就没有管它,但是今天它又来了,所以不得不去看看是不是在我的linux系统中植入了些什么。
问题解决
今天在测试接口的时候发现,我的服务器响应请求很慢,去平台上一看,好家伙CPU直接爆红,也就是刚才所示的图片,我意识到又出现了上次的问题了。我又去根目录下删除c2pool文件,再杀死进程,查找挖矿程序的进程号可以输入top命令或者ps aux命令查看进程号,熟疼。、
但是杀死之后的一秒钟又启动了,玩不了一点,于是我想到可能是这个挖矿程序不光在这次启动了,而且还给自己设置了自启动。于是我输入命令systemctl list-unit-files查看哪些组件目前是开机自启动的,它果然躺在里面:
于是输入命令systemctl disable c3pool_miner.service关闭它的开机自启动:
这样下次它就不会自己启动了。
我们这里最好把服务器的密码设置的复杂一点,然后防火墙打开,因为有些小伙伴在开发的过程中,很多微服务对应很多端口号,需要一个个打开,图省事就会直接关闭防火墙,这也给这些程序有了可趁之机。
总结
通过这次的服务器入侵让我联想到,在linux的数据库中存数据的时候,有些数据尽量进行加密,比如我们这个项目有用户信息存储在user表中,有他们的用户密码,一定要加密存储,就算数据会丢失,恶意用户也不知道密码是什么,也登不上去。还有上传到github上的公开代码中的配置文件中,如果有数据库的连接密码,最好也是要加密,以确保数据安全性。
上面是这次服务器被拿来挖矿事件所联想到事情,上述只是一种解决挖矿病毒的参考方法,小伙伴们有什么新的想法,欢迎大家评论区留言!!!