前言
因服务器无意间CPU高达96%,访问很慢;在排查问题的时候竟然发现了服务器被挂上了挖矿程序;
1、挖矿程序的名称列表:
networkservice
sysguard
update.sh
config.json
sysupdates
kow930kd
kow709kd
2、挖矿程序的日志名称列表
101_og
275_og
2_og
630og
sess*****
3、处理方法
1) 使用top方法找到所有可疑文件进程的PID号
2) #kill -9 $PID
3) 找到文件所在目录,删除所有可执行文件 #ls -l /proc/$PID/exe
4) #rm -rf networkservices 【分别删除,有多少删除多少】
5) 删除/root/.ssh/authorized_keys #rm -rf /root/.ssh/authorized_keys
6) 删除/var/spool/cron/daemon #rm -rf /var/spool/cron/daemon
7) 如果有系统命令被篡改,把命令改回原来状态
#mv /bin/wge /bin/wget
#mv /bin/cur /bin/curl
上述命令根据服务器情况修改
8) 查看iptables防火墙
挖矿程序修改的命令如下
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
上述端口在防火墙中查看是否存在,根据情况删除规则链;
原文地址:https://blog.51cto.com/1243047/2437010