生产 Server 遭挖矿程序入侵,暴力占用 CPU
source link: https://mp.weixin.qq.com/s/akZrItIkXEphbnKVdyIP1w?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
区块链的火热,利益驱使必然导致不少PC或Server,被变成肉鸡,执行挖矿程序进行挖矿,进而导致我们正常的程序无法正常。
(Centos7 Server)使用top命令查看服务器进程运行情况,发现几个较诡异进程。CPU战用长期居高不下,系统负载load average值更是高出平时近百倍,且进程运行在一个原本并不存在的用户上。系统遭入侵是必然的,并且运行着占用巨大算力的程序,联想到之前由此阿里云主机有过一次矿机入侵经历,想必这次挖矿程序入侵已是大概率事件。
下面要做的就是找出挖矿程序,清除并提升系统安全性。
可以看到三个ld-linux-x86-64命令占用较多内存,采用相关命令来查找实际的运行文件
#ll /proc/pid -- 可以罗列出相关的文件及目录
打开其中一个可疑文件pools.txt
可明显的看到这是一个 挖矿程序 在运行,里面显出了currency:monero7币种类型(xmr门罗币),pool_address矿池地址,wallet_address钱包址等等。 采用CryptoNight算法的代表币种就是Monero,即XMR,门罗。这个是门罗币老算法,适合CPU服务器挖矿,显卡矿机挖矿。哪怕是低端办公用的I3处理器也拥有4Mb以上的三级缓存,能够用于这个算法计算。
找到挖矿程序运行的所在目录后,直接清除掉即可。诸如如下目录:
#rm -rf /tmp/bin #rm -rf /tmp/.lsb #rm -rf /tmp/.rpm
删除掉程序目录后,中止对应进程
#kill -9 PID PID2 PID3
通过查看非法用户是何时创建的
同时清除掉运行挖矿程序的用户
通过date -d命令,可以看出hadoop非法用户是在2018-07-04日创建出来的。
#userdel -r hadoop //连带目录一同删除
梳理下本次清除挖矿程序的步骤:
1、确定对应的进程,找出挖矿程序的目录位置
2、清除所有挖矿相关的所有文件,并中止进程
3、清除非法用户及用户组
4、更新原有账户体系下用户的密码强度,安装强有力的防护软件,提升系统安全性。
扩展阅读:
-
提高你的被动收入(睡后收入)
长按2秒,识别二维码,关注我。
关注程序员成长
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK