Ubuntu服务器挖矿病毒清理
有一台服务器cpu一直占用100%,无网络状态下也是100%,基本上肯定是中了挖矿病毒
1、top和ps等命令都查不到占用cpu的进程,肯定是隐藏了/proc/pid的进程目录
2、写了一个脚本查一下隐藏进程,基本思路就是读取/proc下的目录,从pid 0开始尝试一直尝试到最大pid,看一下是否可以用ps命令看到,看不到就是隐藏了,查到了discord的进程,肯定就是这个了
3、到这个目录下看一下,找到源文件了
4、到源文件目录里
5、i文件里记录了两个ip地址
6、查一下,发现已经被上报过了
7、但由于这台机器是内网机,其实是被内网机器爆破的,lastb查了一下登陆记录,非常的多
8、不过还是很疑惑登陆用户名其实不是常见用户名,结果仔细看了一下发现有些大学简称其实也在密码表里了
9、最后检查了一下发现top,ps,scripts都被替换了,重新装一下最后改掉弱密码
总结:
目前遇到过感染病毒的机器都是因为弱密码导致的,不管有没有暴露在公网下都一定要使用强密码
作者:Lvara
链接:https://zhuanlan.zhihu.com/p/26051521560
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。