作为程序员一枚首先服务器基本安全配置: 禁用默认端口22 防止撞库等方式暴力破解服务器
命令: vim /etc/ssh/sshd_config 设置port 重启 。禁用root账户登录:vi /etc/ssh/sshd_config 设置PermitRootLogin no
然而防不胜防呀。在某云购买的服务器 在某一天cpu飙升100%,导致ssh链接变慢。访问服务变慢的解决过程。阿里云警报服务器被植入挖矿木马,与可疑矿机持续通信。
服务器是新购买的,运行着Tomcat,MySQL,MongoDB,Nginx等程序。接下来便是处理问题的过程。
首先top查看内存使用情况
多了很多未知speed进程。查看speend进程对应的启动文件
ls -l /proc/pid(303)
初步判断speed为挖矿程序。/tmp/speed为挖矿脚本。
初步解决方案pkill -9 speend
cd /tmp rm -rf speed
至此服务器恢复正常 cpu恢复正常。
接下来检查定时任务 方式木马植入病毒程序 定时远端下载木马。
crontab -l -u root(用户) 查找所有用户的定时任务
初看肯定是没有问题。打开logo.jpg提示文件不存在。
vim /tmp/.tmp/upd
找到定时任务的脚本文件。图片路径果然只是伪装。目的是为了下载挖矿脚本。
删除定时任务 crontab -r 删除tmp下面所有的病毒文件
到这解决了病毒文件。重复挖矿的问题。
最后一步找到病毒文件感染源。首先lastlog 查看用户登录日志,没有发现异常。估计是被抹掉痕迹了。小偷偷东西一般不会留下东西的。
查看history 所有的操作命令。病毒感染日志 是9月21日
删除异常文件。至此解决问题。
