前言
突然收到阿里云的短信提醒 , 说服务器出现了恶意挖矿程序 , 还好这台上都是测试服务器 , 之前也做了数据备份 , 可以放心去整 , 不过还是得小心严重操作前记得备份下
处理过程 1、检查服务器负载与CPU利用率 , 确定挖矿程序进程
ll /proc/进程ID
kill -9 1459261
杀死进程后 , top 命令查看CPU也降下来恢复正常了
2、检查您服务器的防火墙中是否存在挖矿程序地址并清除恶意地址
iptables -L -n
3、查看端口安全状况是否异常
netstat -aulntp
开始疑惑这个IP的 133.11.244.74是啥 , 查询后是自己的公网ip
查看自己公网IP国内网站:
4、检查服务器的定时任务里是否有攻击者添加的定时任务,对可疑的定时任务文件进行处理 , 防止二次入侵
crontab -l
及
cat /etc/crontab
5、检查服务器启动项是否有可疑程序确保服务器重启后不会有问题
cd/etc/init.d
cat/etc/rc.d/rc.local
6、检查了linux系统用户是否被添加其他的root级别的管理员用户
cat /etc/passwd#用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
7、检查服务器root是否开启远程权限 , 生产环境的服务器应该设置 no
cat /etc/ssh/sshd_config
【记录解决阿里云ES服务器提示挖矿程序】8、检查SSH公钥中是否存在挖矿病毒 , 防止出现持续后门
cat /root/.ssh/authorized_keys
9、阿里云服务器安全组配置的端口安全策略 , 对80端口 , 以及443端口进行开放 , 其余的SSH端口进行IP放行 , 需要登录服务器的时候进阿里云后台添加放行的IP , 尽可能的杜绝服务器被恶意登录
10、定期的对服务器进行安全检测是否存在挖矿行为 , 检查是否有后门 , 对系统版本定期的升级与漏洞修复 , 系统的后台登录进行二次密码验证 , 防止系统存在sql注入漏洞 。防止挖矿病毒重复感染内网中的其他服务器
也可参考阿里云的挖矿程序实践文档:
结语
本次挖矿程序删了挖矿程序执行文件 , 强制杀死了挖矿进程 , 定时任务、启动项等其他项并没发现啥可疑 , 可能是这个黑客人好吧 。。。。。。总归来说服务安全防范要做好防止服务器恶意攻击 , 最后希望参考该文章对您有所帮助!
- 阿里云服务器中了挖矿程序应该如何清除
- 记录_第一次解决挖矿程序入侵问题
- win7中文语言包环境下安装软件乱码的解决方法
- 母婴行业转型过程中的痛点如何解决
- nodejs 4.4. Express写接口---使用CORS解决跨域问题
- JFX11+Maven+IDEA 发布跨平台应用的完美解决方案
- 铛~铛~铛【我身边的戴尔企业级解决方案】
- JFX11+IDEA跨平台打包发布的完美解决办法
- 【Hybrid App】关于Hybrid App技术解决方案的选择
- 【已解决】web.py与react