早上醒來看到阿里云的緊急通知短信,就馬上進入App看下
1、起床之后,買了早飯沒吃,先打開電腦,使用top查看服務器的運行狀態,發現異常進程
根據進程名查詢執行:
ps -ef|grep xr
病毒執行命令: 執行的是一個xr文件,后面跟的是各個參數
./xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529
訪問這個網站,無法訪問,lplp.ackng.com:444
繼續找執行文件:
find / -name xr
查看該文件,4.3M
du ./* -sh
進入我的非root用戶,檢查定時任務
進入root用戶檢查定時任務
根據個人理解,這個病毒顯示是我的非root用戶的,但是執行進程用戶是root,在root和非root用戶里都沒有發現定時任務,
目前的解決辦法:刪除可執行文件,殺死進程
注意
定時任務還有其他的方式,此處我為了偷懶,只檢查了crontab 的,如果之后還會出現,那么我會更加仔細的檢查
先強制殺死進程
kill -9 17943
刪除進程之后,服務器運行正常
刪除病毒文件
rm -rf xr
最后,修改服務器的安全組規則,我是因為懶,設置的0.0.0.0...............................................
等待觀察,看之后是否還會出現
總結:
第一眼看到我服務器中了病毒,沒有絲絲慌張,甚至有點小興奮,因為是測試服務器,目前我就部署了MySQL,redis以及我的個人博客應用,如果是我解決不了的病毒或者找我要btc,那我會毫不猶豫選擇重裝系統玩玩
現在服務器中病毒已經很常見了,個人服務器影響不大,要是公司重要項目影響就大了,建議平時還是別偷懶吧,病毒無處不在,不得不防
最后:
個人只是一個開發,非運維大佬,對linux了解甚微,文中不對處,請來噴我啊 哈哈哈哈
不出我所預料,以上操作,只是刪除了而已,過了一會,病毒再次運行,那么百分之百在其他的定時任務里藏了命令,畢竟刪除了就沒有了,這太簡單了
這種情況,第一步就是檢查定時任務,刪除了又有了,這種沒啥神奇的,就是定時任務
cat /etc/crontab
目測這就是病毒的真面目了
刪除定時任務,刪除腳本,坐等打臉,再次出現
