linux 服務器發現了挖礦病毒

1.發現病毒

近日，由於本身搭建的我的網站作了一版更新，準備去服務器作部署。鏈接服務器的時候明顯感受到消耗的時間比以往要久，半天才響應過來。

在測試網絡沒有問題以後，隨即便用top命令看下進程狀況，結果以下圖所示

 

整齊劃一的進程，且本身沒有作過這樣的部署。發現不對勁，因而立刻使用kill命令幹掉這些進程。神奇的事情發生了，這些進程就像不倒翁同樣，幾個kill命令過去它們又從新站了起來。

2.解決問題

因而當即將問題反映給了百度，得出結論，這是一個挖礦病毒 sysupdate

2.1定位病毒

1.使用top命令得出進程號（PID）

2.使用命令ls -l proc/{進程號}/exe得出文件位置

2.2清除病毒

1.使用 rm 命令直接刪除，會發現提示沒法刪除，應該是使用了chattr命令將文件鎖定了

使用命令： chattr -i {文件名}  便可正常刪除

2.在/etc/目錄下還發現一個守護進程文件  /etc/update.sh 也一併刪除了

3.檢查是否還有免密登陸的後門文件   /root/.ssh/authorized_keys 也一併刪除

4.檢查定時任務  crontab -l 將可疑任務清除

最後將服務器重啓，檢查是否還有異常

3.總結

這次挖礦病毒事件多是因爲redis服務未設置密碼致使的，因爲redis尚未正式投入到業務中，因此產生了這種疏忽。

這大概就是細節決定成敗了。

安全無小事，但願你們都能避免此類問題的發生，發生也可以無缺的解決。

本文轉載自我的網站ushowtime  https://www.ushowtime.cn