服务器被挖矿入侵,进程 command为ld-linux-x86-64占用cpu很高

测试服务器看到 ld-linux-x86-64的进程占用cpu极高,user 是 mysql 的。
测试环境不会有这么高的mysql负载,并且内存占用基本为0。区块链技术盛行,让人不得不怀疑被抓去做矿机了。

  1. 初步排查
[exchange@localhost /]$ sudo find -name "ld-linux*"  #找到ld-linux-x86-64名字的文件
[sudo] exchange 的密码: #输入密码
./var/tmp/.ssh/stak/ld-linux-x86-64.so.2  #这个文件很可疑,.ssh是在用户目录下的,下面那个路径才是正常的路径
./usr/lib64/ld-linux-x86-64.so.2
./usr/share/man/man8/ld-linux.so.8.gz
./usr/share/man/man8/ld-linux.8.gz

通过简单分析,./var/tmp/.ssh/stak/ld-linux-x86-64.so.2应该是黑客模拟系统的文件名称,并且还放在.ssh这个隐藏文件夹下。黑客也有可能写其他跟系统类似的文件,也会放在其他用户比较熟悉的文件夹名称下,混淆视听。
2. 确认入侵
当时删的及时,没注意保存截图。在.ssh文件夹下某个文件夹中有个 config.json文件。有句 “pool_address” : “101.99.84.65:80”,查看IP是马来西亚的,基本确定是被拉去做矿工了。

[exchange@localhost 5101]$ sudo rm -rf .ssh #删除所有的文件并删除该进程

主要是服务器的22端口对外网开放,并且密码很简单。设置复杂密码或者22端口不开放可以控制这一情况。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值