今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护):
解决过程:
1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图:
/bin/dhpcd 占用了99%的内存
2.查看定时任务,是否有不明的定时任务
①使用crontab -l命令查看,没有发现不明定时任务
②cat /etc/crontab,同样没有发现不明定时任务
3.检查端口的状态
netstat -aulntp
发现tcp连接有一个不明的外国ip
复制到浏览器访问看是什么,看下图:
翻译成中文的意思就是:在线矿池010620 ID 2803000
在这里我想到一个问题,这个挖矿程序是放在哪里的,怎么启动的,分析之后初步判断是在启动文件里面
4.第一次处理:
强制杀死进程: kill -9 PID
5.杀死进程查看CPU回归正常,如下图:
到此还不算彻底解决,因为定时任务里面我们找遍了都找不到,所以前面我们猜测可能挖矿程序放在启动文件里面的,因为我这个是用来做测试的服务器,上面没有业务,随时都可以重启,所以直接就进行重启认证,没有先去检查启动文件(我承认这一步我浪了。。。)
6.重启(果不其然,我们用图说话)
/bin/dhpcd进程又启动了,CPU又被占满了,现在基本可以确定挖矿程序就放在启动文件里面,接下来去检查一下启动文件
7.检查开机启动项
①检查/etc/init.d/目录下是否有可疑程序,检查后发现没有
②检查/etc/rc.d/rc.local(因为/etc/rc.local文件是/etc/rc.d/rc.local文件的软链接,所以只要检查/etc/rc.d/rc.local文件就可以了)
发现了正在使用/bin/dhpcd的命令
8.彻底解决,服务器恢复正常状态
①杀死/bin/dhpcd进程
②删除/etc/rc.d/rc.local文件的可疑命令
③备份/bin/dhpcd为/bin/dhpcd.bak,然后删除/bin/dhpcd
9.还有一个问题:我的root用户本来是禁止远程登录的,通过查看服务器的安全日志,发现最近几天都是被人用root用户远程登录了我的服务器,然后植入挖矿程序,所以还需要检查一下sshd的配置文件,root用户的远程权限是否被修改了,如果被修改了,那还要将配置文件改回来
①如下是我整理出来的最近几天异常登录的日志,可以发现全是利用root用户登录的,当然也可以通过查看植入的挖矿程序的所有者跟所属组来判断:
②查看sshd配置文件,检查root远程权限是否被修改:
vim /etc/ssh/sshd_config
果然被修改了,PermitRootLogin为yes表示允许root远程登录,为no表示拒绝root远程登录,这里我本来设置的是no,现在变成yes,很明显被改了
③修改sshd配置文件,重新启动sshd服务
修改后如下图:
重新启动sshd服务:
systemctl restart sshd
最后总结一下流程,因为在生产环境中我们不能随意重启服务器,所以不是迫不得已的情况下,我们尽量不重启服务器
挖矿程序排查流程:
①检查进程(top -c)
②检查定时任务(crontab -l、cat /etc/crontab)
③检查端口的状态(netstat -aulntp)
④检查开机启动项(ll /etc/init.d/、cat /etc/rc.d/rc.local)
分析日志之后还发现一个问题,我的root用户的密码在27号曾经被改过,这个下篇博文再说,其中也遇到了一个问题!!!
扫一扫
661
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
