<返回更多

记一次阿里云服务器被中病毒处理过程

2020-12-17    
加入收藏

早上醒来看到阿里云的紧急通知短信,就马上进入App看下

记一次阿里云服务器被中病毒处理过程

 

1、起床之后,买了早饭没吃,先打开电脑,使用top查看服务器的运行状态,发现异常进程

记一次阿里云服务器被中病毒处理过程

 

根据进程名查询执行:

 ps -ef|grep xr

 

记一次阿里云服务器被中病毒处理过程

 

病毒执行命令: 执行的是一个xr文件,后面跟的是各个参数

./xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529

访问这个网站,无法访问,lplp.ackng.com:444

继续找执行文件:

find / -name xr

 

记一次阿里云服务器被中病毒处理过程

 

查看该文件,4.3M

du ./* -sh 

 

记一次阿里云服务器被中病毒处理过程

 

进入我的非root用户,检查定时任务

记一次阿里云服务器被中病毒处理过程

 

进入root用户检查定时任务

记一次阿里云服务器被中病毒处理过程

 


 

根据个人理解,这个病毒显示是我的非root用户的,但是执行进程用户是root,在root和非root用户里都没有发现定时任务,

目前的解决办法:删除可执行文件,杀死进程

注意

定时任务还有其他的方式,此处我为了偷懒,只检查了crontab 的,如果之后还会出现,那么我会更加仔细的检查

先强制杀死进程

 kill -9 17943

删除进程之后,服务器运行正常

删除病毒文件

rm -rf xr

 


最后,修改服务器的安全组规则,我是因为懒,设置的0.0.0.0...............................................

等待观察,看之后是否还会出现

记一次阿里云服务器被中病毒处理过程

 

总结:

第一眼看到我服务器中了病毒,没有丝丝慌张,甚至有点小兴奋,因为是测试服务器,目前我就部署了MySQL,redis以及我的个人博客应用,如果是我解决不了的病毒或者找我要btc,那我会毫不犹豫选择重装系统玩玩

现在服务器中病毒已经很常见了,个人服务器影响不大,要是公司重要项目影响就大了,建议平时还是别偷懒吧,病毒无处不在,不得不防

最后:

个人只是一个开发,非运维大佬,对linux了解甚微,文中不对处,请来喷我啊 哈哈哈哈

 


不出我所预料,以上操作,只是删除了而已,过了一会,病毒再次运行,那么百分之百在其他的定时任务里藏了命令,毕竟删除了就没有了,这太简单了

 

这种情况,第一步就是检查定时任务,删除了又有了,这种没啥神奇的,就是定时任务

 

cat /etc/crontab

目测这就是病毒的真面目了

记一次阿里云服务器被中病毒处理过程

 

删除定时任务,删除脚本,坐等打脸,再次出现

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>