记一次阿里云服务器被中病毒处理过程

2020-12-18| |来自: 互联网

记一次阿里云服务器被中病毒处理过程


早上醒来看到阿里云的紧急通知短信,就马上进入app看下

1、起床之后,买了早饭没吃,先打开电脑,使用top查看服务器的运行状态,发现异常进程

根据进程名查询执行:

 ps -ef|grep xr


病毒执行命令: 执行的是一个xr文件,后面跟的是各个参数

./xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529

访问这个网站,无法访问,lplp.ackng.com:444

继续找执行文件:

find / -name xr


查看该文件,4.3M

du ./* -sh 


进入我的非root用户,检查定时任务

进入root用户检查定时任务



根据个人理解,这个病毒显示是我的非root用户的,但是执行进程用户是root,在root和非root用户里都没有发现定时任务,

目前的解决办法:删除可执行文件,杀死进程

注意

定时任务还有其他的方式,此处我为了偷懒,只检查了crontab 的,如果之后还会出现,那么我会更加仔细的检查

先强制杀死进程

 kill -9 17943

删除进程之后,服务器运行正常

删除病毒文件

rm -rf xr



最后,修改服务器的安全组规则,我是因为懒,设置的0.0.0.0...............................................

等待观察,看之后是否还会出现

总结:

第一眼看到我服务器中了病毒,没有丝丝慌张,甚至有点小兴奋,因为是测试服务器,目前我就部署了Mysql,redis以及我的个人博客应用,如果是我解决不了的病毒或者找我要btc,那我会毫不犹豫选择重装系统玩玩

现在服务器中病毒已经很常见了,个人服务器影响不大,要是公司重要项目影响就大了,建议平时还是别偷懒吧,病毒无处不在,不得不防

最后:

个人只是一个开发,非运维大佬,对linux了解甚微,文中不对处,请来喷我啊 哈哈哈哈



不出我所预料,以上操作,只是删除了而已,过了一会,病毒再次运行,那么百分之百在其他的定时任务里藏了命令,毕竟删除了就没有了,这太简单了


这种情况,第一步就是检查定时任务,删除了又有了,这种没啥神奇的,就是定时任务


cat /etc/crontab

目测这就是病毒的真面目了

删除定时任务,删除脚本,坐等打脸,再次出现


标签: 病毒 定时 任务 服务器 进程 检查 文件 用户 root 之后
出处: https://www.toutiao.com/a6906296677993546243/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护