记一次服务器被抓去挖矿事件

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一次服务器被抓去挖矿事件相关的知识,希望对你有一定的参考价值。

某天,一台服务器cpu占用高达96%,

好吧,这种情况当然要看看是哪个进程占用的了,
top查看进程发现是一个 ls_linux 的进程高居榜首,但是自己知道该服务器上没运行过此种服务的,
所以断定可能是被抓去挖矿了,试着kill干掉这个进程,
果然,没那么简单,一会儿的工夫就又出现了此进程。
在系统中再 ps aux 查看进程时,又发现一堆的[xxxxx]进程,而且显示用户是test,
这个用户的密码过于简单,可能是被暴力破解了。
ps aux | grep test
一执行,出现了4000+个[xxxxx]的进程!
手动kill是不可能了,就赶紧写了脚本,杀死test下所有的进程,并且把test用户的密码修改成复杂密码,
继续 kill 掉主要的进程ld_linux ,cpu一下就降下来了。
观察一段时间后,发现cpu运行稳定,算是解决了一次病毒事件吧。

总结:
1.用户的弱密码是个硬伤,尽量加强密码强度,linux服务器本身的权限机制就比较安全,
所以密码一定要保护好;
2.在处理过程中,杀死进程时的进程号以 ps aux 命令中的为准,top能看到进程运行情况,
但还有可能一些不占用cpu的进程存在,top是显示不出来的。需要用 ps aux 来筛选;

3.熟悉自己的服务器,清楚上面运行的服务,这样一旦出现不熟悉的进程就能判断出来;

4.多用 ps aux 查看可疑进程,再 find 搜索进程文件,将顺藤摸瓜,将进程文件的干掉,或者使文件失效;

以上是关于记一次服务器被抓去挖矿事件的主要内容,如果未能解决你的问题,请参考以下文章

记一次手动清理Linux挖矿病毒

记一次挖矿病毒应急响应事件

我竟然被抓去做了比特币挖矿工

记一次Xmrig挖矿木马排查过程

服务器被当作了肉机去挖矿的解决办法

记一次window服务器木马排查(后门植入挖矿程序)