解決阿里雲服務器提示挖礦程序風險

 

　　　　今天大早上收到阿里雲郵件通知，提示有挖礦程序。一個激靈爬起來，折騰了一早上，終於解決問題了。

　　其實前兩天就一直收到阿里雲的通知，檢測到對外攻擊，阻斷了對其餘服務器637九、 6380和22端口的訪問，當時沒怎麼當一回兒事，反正是我用來本身學習用的，就放着無論了，結果今天事態就大了。那就來解決吧。

　　首先xshell鏈接服務器，這時候輸入命令時明顯感受巨卡。

　　確定是cpu被佔滿了，輸入 top -c 命令查看有個進程叫 kworkerds。佔用了將近100%的CPU。

　　

 

　　這 kworkerds 是個啥？？做爲小白的我一臉懵逼。不要緊，有問題找百度。

　　而後就知道了，kworkerds是個挖礦程序，通常是經過redis的漏洞被植入的。網上也搜到了不少解決辦法，結合着這些方法，我開始了本身的操做：

　　一、首先 kill 掉這個進程，先讓CPU降下來再說。輸入個命令都得卡半天，不能忍。

　　二、cd到 /tmp/ 和 /var/tmp/ 目錄下，把帶有kworkerds的文件刪除。

　　　　一邊刪除着發現輸入命令的時候又開始變卡了。查看進程，果不其然又有個kworkerds進程，果斷kill掉。

　　　　解決問題過程當中這個進程總會反覆重啓，我就又開了一個shell，時刻監視着進程，一旦感受輸入變卡了，就先去kill掉這個進程

　　　　回到 /tmp/ 和 /var/tmp/ 目錄下，發現刪掉的文件又自動生成了。嗯……接着折騰

　　三、網上搜到會和crontab有關。好嘞，咱看看crontab有啥，刪掉不就行了。而後：

　　　　

　　　　嗯………………………………必定是我打開的方式不對。

　　四、找了半天緣由，最後回到進程裏查看，啊，原來是這樣

　　　　

　　　　是www-data這個網站用戶被黑了。好吧，放下手上的活，重置個密碼先。

　　五、輸入 crontab -l -u www-data ,以下：

　　　　

　　　　木馬時時刻刻都在請求這個服務器下的一個mr.sh 腳本。腳本下載下來，打開看了下。

　　　　做爲一個小白，雖然不大明白其中意思。但跟網上搜到的差很少，就是這個腳本不斷地在生成 kworkerds文件。

　　六、把crontab關掉，個人www-data用戶沒有其餘的定時任務，因此我直接執行了 crontab -r -u www-data

　　　　重複一、 2 步驟，該刪的一個不留。

　　　　須要注意的是，/tmp/ 和 /var/tmp/ 目錄下，全部者是 www-data 的文件均可能有問題。

　　　　除了本身能肯定沒問題的，其餘都刪掉。不要只刪除 kworkerds 文件。

　　　　而後就驚喜的發現—— 刪掉的文件又回來了，kill掉的進程又重啓了。WTF！！

　　七、從新理一遍頭緒。回想起了，這個病毒極可能是經過redis來攻擊的。

　　　　好，那就先把redis關掉吧。而後再重複 六、 一、 2 步驟。

　　　　而後…… 問題終於解決了！

　　

　　到我寫這篇文章時，沒有再出現這個問題。

　　我想以後我應該會從新裝一遍redis，而後好好學一學管理redis的知識，讓服務器更安全，防止再次被攻擊吧。