阿里轻量服务器xmrig挖矿病毒排查处理

avatar
作者
筋斗云
阅读量:1

本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100

一、发现xmrig

1.通过top发现xmrig占用了大量cpu,xmrig比较隐蔽,没有对所有的cpu核心消耗完,我这台两核仅消耗一半

2.通过网上搜索发现是挖矿木马

3.尝试直接kill发现杀死之后又会自动重启

二、找出xmrig程序文件位置,并将其目录删除

top查看进程id,杀死进程

通过find命令找出xmrig文件

find / -name xmrig

发现该病毒文件比较设置较隐蔽,为./xmrig格式隐藏文件,删掉这个目录文件,同时验证负载情况

rm -rf /var/tmp/.xmrig

三、其他问题(转载其他博客)

https://blog.csdn.net/aiaidexiaji/article/details/131663833

1.定时任务crontab

通过 crontab -l 发现没有定时任务,但是会重新启动
cd /etc/ 查看crontab文件发现有隐藏的定时任务
通过rm删除文件时 rm -rf /etc/crontab ,没有权限

 1 chattr -ia /etc/crontab
2 rm -rf /etc/crontab


删除后在./etc目录下多看几个crontab文件,发现病毒备份了多个定时任务,只要不是自己的定时任务 直接删文件就好了

2.定时任务2


1.删除定时任务 rm -rf /var/spool/cron
2.删除ssh认证信息 rm -rf ./ssh/
.尽量使用内网链接,不要暴露端口号或者外网地址

3.禁用root远程登录


禁用 root 远程登录的方法(用其它用户su过去):

sudo vi /etc/ssh/sshd_config


关闭 root 远程登录

PermitRootLogin no


重启 ssh 服务

sudo service ssh restart

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!