记一次服务器被抓去挖矿事件

某天,一台服务器cpu占用高达96%,

好吧,这种情况当然要看看是哪个进程占用的了,
top查看进程发现是一个 ls_linux 的进程高居榜首,但是自己知道该服务器上没运行过此种服务的,
所以断定可能是被抓去挖矿了,试着kill干掉这个进程,
果然,没那么简单,一会儿的工夫就又出现了此进程。
在系统中再 ps aux 查看进程时,又发现一堆的[xxxxx]进程,而且显示用户是test,
这个用户的密码过于简单,可能是被暴力破解了。
ps aux | grep test
一执行,出现了4000+个[xxxxx]的进程!
手动kill是不可能了,就赶紧写了脚本,杀死test下所有的进程,并且把test用户的密码修改成复杂密码,
继续 kill 掉主要的进程ld_linux ,cpu一下就降下来了。
观察一段时间后,发现cpu运行稳定,算是解决了一次病毒事件吧。

总结:
1.用户的弱密码是个硬伤,尽量加强密码强度,linux服务器本身的权限机制就比较安全,
所以密码一定要保护好;
2.在处理过程中,杀死进程时的进程号以 ps aux 命令中的为准,top能看到进程运行情况,
但还有可能一些不占用cpu的进程存在,top是显示不出来的。需要用 ps aux 来筛选;

3.熟悉自己的服务器,清楚上面运行的服务,这样一旦出现不熟悉的进程就能判断出来;

4.多用 ps aux 查看可疑进程,再 find 搜索进程文件,将顺藤摸瓜,将进程文件的干掉,或者使文件失效;

原文地址:http://blog.51cto.com/13577495/2140517

时间: 2024-10-10 08:15:35

记一次服务器被抓去挖矿事件的相关文章

记一次服务器被植入挖矿木马cpu飙升200%解决过程

线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序.突然一则噩耗从前线传来:网站不能访问了. 此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果.机制的我打了个top,出现以下内容: 这是谁运行的程序?不管三七二十一先杀掉再说,因为它就是Tomcat等程序启动不了的元凶.然而并没有什么卵用,过一会再看那个东西又跑出来占

记一次服务器被挖矿经历与解决办法

记一次服务器被挖矿经历与解决办法 在最近的某一天里面,中午的一个小息过后,突然手机的邮件和公众号监控zabbix的告警多了起来.我拿起手机一看原来是某台服务器上的CPU跑满了,就开始登上去看一下是哪个脚本导致负荷高的(在期间使用top -d 1命令查看负荷占用情况).可以静下来想了下,中午大家都在休息不应该CPU负载会这么高的,心里想80%是服务器被黑了. 后来发现是/tmp/ddgs.3013和/tmp/qW3xT.2这两个文件跑满了服务器CPU,后来决定先kill掉文件PID和删除/tmp目

服务器被植入挖矿病毒解决办法

服务器被植入挖矿,刚解决完,参考文章! 上午重启服务的时候,发现程序启动死慢,用top命令查看了一下,cpu被占用接近100%,所以无法运行新程序,通过top命令然后输入P,就能看到有两个程序几乎占用了所有的CPU,占用率为700%左右,程序名称为:minerd和AnXqV两个,通过搜索知道是挖矿程序,通过kill命令及pkill命令是无法直接解决的,找到了一个教程,http://www.cnblogs.com/zhouto/p/5680594.html,参考的这个进行的处理,基本上搞定了,不过

记一次服务器上架的总结和反思

由于博主所在公司最近业务量上升,各个项目进度加快,使得原有饱和的服务器资源变得紧张起来.博主很是着急啊,于是就做了一系列的资源使用统计和分析,然后向上递交了采购计划. 如题<记一次服务器上架的总结和反思>,服务器采购计划最终是批了.博主心情愉悦地等待着这批服务器的到达,并设计了相关的上架流程和自动化方案,最终进行了具体的实施操作.虽然在实施过程中遇到了一些问题,不过都是些不影响主流程的小问题,其中不乏在流程中忽略的点和未设计到的点,这些都是很值得事后思考和反思了.毕竟,这只是一次扩容,以后这种

记一次服务器inodes数报警的事件

1 # df -i 执行以上命令,发现/上的 inodes 占用率为81%,于是开始处理. 首先找出哪个目录底下文件数最多: 1 # cd / 2 # for i in $(ls);do echo ${i} && find ${i} | wc -l;done 我找出的目录是/var/spool/clientmqueue目录,文件数有200万左右.之 所有有这么多,是因为定时任务的原因.如果某个定时任务执行时有输出内容, 这些输出内容会以邮件的形式发往crontab的用户,慢慢的就占满了空间

记一次手动清理Linux挖矿病毒

时间:2018年5月16日 起因:某公司的运维人员在绿盟的IPS上监测到有挖"门罗币"的恶意事件,受影响的机器为公司的大数据服务器以及其他Linux服务器. 我也是赶鸭子上架第一次解决运行在Linux上的挖矿病毒事件,由于当时自己没有专门的Linux挖矿的清理工具,便开始分析IPS上提供的信息. 由于当时的部门对数据的保护比较敏感,并没有对当时操作进行拍照截图,我也只能根据当时我记录的笔记和依稀的记忆来梳理整个事件. IPS提供的信息: 1:受到影响的IP 2:受影响主机连接的地址(1

记一次服务器密钥失效经历

早上来公司,收到这个消息,我的心是崩溃的. “tim老师,测试服务器的远程登录密钥失效了”,我问他,做了什么改动没,得到的确切回复是“只是上传了一些代码”,再次询问下,坚持只上传了些代码,言之凿凿.这个问题可大了,1. 就这个机器而言,没有做任何事,“只是上传了代码”就导致用了两年的密钥不能用了,这个机器是着急用来搭建测试服务器的.这个测试服务器已经搭建了一个多星期了,之前一直说代码没准备好,现在又蹦出这个,真是幺蛾子啊.2. 所有包括正式的服务器与测试服务器一共11台.要是所有的服务器都在某个

Redis集群~StackExchange.redis连接Sentinel服务器并订阅相关事件(原创)

回到目录 对于redis-sentinel我在之前的文章中已经说过,它是一个仲裁者,当主master挂了后,它将在所有slave服务器中进行选举,选举的原则当然可以看它的官方文章,这与我们使用者没有什么关系,而对于sentinel来说,它在进行主从切换时,会触发相关事件,这是和我们开发人员有关系的,如当+switch-master事件被触发时,说明当前Sentinal已经完成了一次主从的切换,并所有服务已经正常运转了. 下面是我这几天作的测试,对于Twemproxy代理和Sentinal哨兵都已

记一次简单的清理挖矿程序过程

收到告警信息,有一台服务器被攻击,留下了挖矿程序.清理过程如下: 1.top命令找到可疑程序: 2.找到之后,就把这个程序kill掉了,但是过了一会儿,发现程序又自动起来了 3.怀疑有定时任务,于是查看定时配置,发现了可疑的配置: 4.注释掉定时任务(没有立即删除,先注释掉了) 5.重新杀掉新的libstdc进程 6.查找本地是否存在i.sh和libstdc文件,发现没有i.sh,有libstdc这个文件: [[email protected] ~]# find / -name "i.sh&qu