我的服务器接连被黑客攻击,我好难-阿里云开发者社区

开发者社区> 数据库> 正文

我的服务器接连被黑客攻击,我好难

简介: 服务器被植入挖矿程序该如何排查

最近在几台测试服务器上跑一些业务数据,但是过了几天服务器突然变的奇慢无比,敲个命令就像卡壳一样,有时候甚至都连接不上,最开始我以为是网络问题,就强行kill掉进程,重新跑一下进程,最后实在受不了,就上阿里云后台说重启下服务器吧,结果看到CPU的占用率已经到达了100%。

image.png

看到这样我以为是因为我跑了大量的数据导致CPU飙升的,然后我就kill到了进程,并且重启了服务器,启动之后CPU正常,我以为就是我跑数据导致的,此后我就没用这台服务器跑数据了,我就单纯的以为这就算处理好了,没想到等我过几天部署测试包的时候发现,又是奇慢无比,看了下CPU占用率又是99.9%,事实证明我还是太年轻了。
终于忍无可忍,就深究下吧,先用linux命令(top)查看下,到底是什么占用了这么多CPU资源,结果如下图:

image.png

看到的瞬间第一感觉就是,这是啥玩意,这是谁部署的。问了下平时身旁的背锅侠,好像也不是他弄的,看来这次这锅是甩不了了,那就只能...

image.png

What?中病毒了?

根据过往的经验,这玩意不应该是点了网页上的小姐姐才会发生的事情吗?我这为什么也就中毒了。
这东西是啥
既然已经中毒了,那就来看看这是什么东西吧。
挖矿病毒,大家身在同一个工地都应该或多或少都听过挖矿吧,要是挖到个币,就不用苦逼写文章了,话说回来,要想挖币需要很强的计算资源,那么也就需要众多的服务器来支撑,这里面有些逼呢又不想投入太多,只能通过一些恶毒的手段,将脚本植入的我们的服务器,比如我们需要安装一个Redis,那么像我英文不太好的人,可能第一时间不是去官网,而是找度娘,如果你正好找的资源里面被人植入了这种东西,那么很不凑巧,你的服务器可能要帮别人搞点东西了。
如何处理这种病毒
既然中了这种病毒,导致我们的服务器很卡,那么肯定要将它杀死,可能没怎么接触过Linux的同学,已经考虑重装镜像了。
其实大可不必。

首先呢我们找到此进程将其kill掉。

image.png

接下来删除kdevtmpfsi文件,一般在tmp目录下

image.png

还有一个文件(kinsing)我们也要将其杀死删掉

image.png

这里需要注意,我试了几台服务器kinsing文件可能存在不同的位置,但是我们可以通过上面的方式看到文件路径,将其找到删除就好。
这个时候我们通过top查看CPU的使用率,可以发现已经正常了

image.png

就在我以为万事大吉的时候,现实又给了我沉痛的一击,没过几分钟CPU使用率又到了99.96%,我要崩溃了。
跟度娘经过深入交流之后,终于知道了问题所在。
查看服务器的定时任务,crontab -l,大概会看到如下的任务,没有就不用管了,你可以将此ip查一下,一般都是国外的ip。

image.png

我们将这些定时任务删除即可,这个链接就是在我们kill到进程、删除文件之后进行下载,然后通过脚本再跑起来。
这也就是为什么我明明杀死了病毒,没过多久又出现了的原因。
到这里我们已经完全处理到此病毒了,如果你用的是阿里云ECS,当遇到这种东西的时候,其实会短信通知你,只不过当时太年轻没怎么在意,另外服务器端口默认是22,自己最好改个端口,不然很容易被恶人攻击。
现在服务器敲起来贼爽,再也不卡顿了。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

其他文章