服务器中了【挖矿病毒】,分享【处理过程+源码】
# 怎么中招的
上周末为了和朋友联机玩游戏,用服务器建了个steam用户(密码steam)来当作联机服务器,结果昨天就中招了,行动真快。。。
> 点击左侧标题可以直接跳转到下载位置
---
# 怎么发现的
设置了的服务器cpu内存异常告警,以及收到了阿里云挖矿告警短信。
---
# 怎么处理的
1. top找到cpu占用异常进程
2. lsof找到异常进程文件路径
3. cat -v /var/spool/cron/crontabs/root 检查自动任务(-v参数防止隐藏文字)
4. 停止异常的进程,删除病毒文件的执行权限
5. 检查~/.ssh/authorized_keys 文件有没有被写入
6. 检查开机自启动
# 不要设置弱口令密码!!!
# 病毒样本下载(不要执行)
> 两个文件都是
http://198.199.109.204/tddwrt7s.sh
https://wwea.lanzoue.com/iUG7W2ar0fuf
我也想拿我的服务器设置弱口令试试了,看看会中哪家的挖矿,最近应急的事件有点少,。, ceciliaaii 发表于 2024-9-24 17:13
阿里云的入侵检测这么牛啊
挖矿病毒被植入CPU直接就爆了很容易看出来的 更新,我去检查一下 我之前也中过。直接重装换硬盘,不知道有没有用 zxwl666 发表于 2024-9-24 15:59
我之前也中过。直接重装换硬盘,不知道有没有用
重装解决99%的问题{:301_997:} 第一个脚本是一个下载器。 插眼,整好之前也中过病毒 冥月影 发表于 2024-9-24 16:13
重装解决99%的问题
剩下百分之一的硬件问题:lol 我就是比较好奇!现在还能挖矿吗?挖矿程序还能用吗? 阿里云的入侵检测这么牛啊