一、问题
一早收到阿里云报警通知短信,说是服务器受到挖矿病毒攻击。
二、解决思路
2.1 top查看进程
先登上服务器查看当前服务器进程,一看四个CUP的空闲率全部为0,有一个进程占用了将近400%的使用率,先杀掉进程。
2.2 删掉守护脚本
一般这种病毒是一个程序,然后会有一个守护脚本来防止你杀掉他。
果然杀掉没多久,这个叫Macron的进程又出现了,首先找到这个病毒程序位置,然后删掉它
进入/usr/bin目录,将今天创建的脚本文件全部删掉
发现文件给锁住了,不给删除。用chattr -i 文件名
解锁被锁住的文件,然后再删除。
2.3 查看其他文件
用find / -maxdepth 1 -newermt "2020-03-09"
命令查看今天修改了那些目录。ll -at
按时间排序,挨个排查掉今天改动过的文件,防止黑客留黑门。
crontab -l
:查看定时任务
/etc/passwd
:查看有没有创建用户
/root/.ssh/authorized_keys
:查看有没有免验证登陆的主机
/etc/hosts
:文件查看主机解析,添加了好多主机地址。