分享一次服務器被挖礦的處理方法

發(fā)布時間：2020-08-15 15:50:23 來源：ITPUB博客閱讀：200 作者：java06051515 欄目：云計算

問題現象:

使用top命令觀察占用cpu程序的PID（注：惡意程序的名稱千奇百怪）?
通過PID查看該程序所在的目錄：ls /proc/XXX/
? 執(zhí)行l(wèi)l /proc/14202 查看該程序運行的目錄
進入該目錄并進行查看都有哪些文件?
將這些文件的權限全部修改成000，使這些程序無法繼續(xù)執(zhí)行：chmod 000 -R *?
? 以上基本可以找出惡意程序所在的目錄了，接著我們將該程序kill 掉即可?
持續(xù)觀察即可（該示例通過觀察30min，該惡意程序繼續(xù)沒有再執(zhí)行）?

補充：
建議執(zhí)行crontab -l 查看是否有可疑計劃任務在執(zhí)行，如有請及時刪除（crontab -r）
通過上面的排查步驟我們可以看到cron程序是運行在/root/.bashtemp/a目錄下的，但/root/.bashtemp/目錄下還有很多這樣的程序，所以也要執(zhí)行：chmod 000 -R * 將所有惡意程序的權限清除
一般來講通過以上步驟可以將惡意程序干掉，但不排除不法分子還留有其他后門程序，為了避免類似情況發(fā)生，建議保存重要數據后重裝操作系統(tǒng)
后續(xù)請對服務器做安全加固，以免再次被入侵，比如更改默認遠程端口、配置防火墻規(guī)則、設置復雜度較高的密碼等方法