服务器被挖矿了怎么办,实战清退

avatar
作者
筋斗云
阅读量:0

    当我们发现服务器资源大量被占用的时候,疑似中招了怎么办

 第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源

  第一步检查高占用进程

     

top -c  ps -ef 

要注意这里%CPU,如果出现100.0之类或者异常高占用的进程,那么毋庸置疑它正在被奴役挖矿

可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了

那么我们怎么清退它呢?

ps -ef | grep xmrig  ps -ef | grep sysetmd

 

这里杀掉sysetmd进程

kill -9 475

 

我们可以在这里找到木马程序所在的目录,咱们进去把这些文件全删除了

rm -rf xmrig*  rm -rf /opt/sysetmd

删除了文之后,我们需要杀掉该挖矿进程

kill -9 挖矿进程的pid

kill -9 1138

这样挖矿的进程已经被删除了,还得做点其它的事

grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd" /etc/systemd/system/*

 发现这两个不知道哪里来的服务,进去look look

 可以发现它还是与木马有关,那我们得弄它

rm -f /etc/systemd/system/sysetmd.service rm -f /etc/systemd/system/monero.service

 

 好了服务弄没了

然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务

crontab -l

我这里没有异常的定时

然后,我们看看有没后门用户

cat .ssh/authorized_keys

这里我就不演示了,我用的事账号密码登录 ssh

我直接查看有没有留后门用户

cat /etc/passwd

有一个异常的账号,除了root,居然还有一个超级权限,这确定不是自己以及其它开发人员创建的

那么我们干他丫的

userdel shaojiang99

发现它被一个进程为1的进程使用

 注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办

直接vipw

直接删除这个账号,发现怎么都保存不了,权限给过去也是没有办法

那我们来看看这个文件的属性

lsattr /etc/passwd

发现该文件的属性为i  锁定状态

chattr -i /etc/passwd 

然后再编辑 vipw

发现可以保存了

chattr +i /etc/passwd 

重新锁定

清理完了

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!