1.發現病毒
近日,因為自己搭建的個人網站做了一版更新,准備去服務器做部署。連接服務器的時候明顯感覺到消耗的時間比以往要久,半天才響應過來。
在測試網絡沒有問題之后,隨即使用top命令看下進程情況,結果如下圖所示
整齊划一的進程,且自己沒有做過這樣的部署。發現不對勁,於是馬上使用kill命令干掉這些進程。神奇的事情發生了,這些進程就像不倒翁一樣,幾個kill命令過去它們又重新站了起來。
2.解決問題
於是立即將問題反映給了百度,得出結論,這是一個挖礦病毒 sysupdate
2.1定位病毒
1.使用top命令得出進程號(PID)
2.使用命令ls -l proc/{進程號}/exe得出文件位置
2.2清除病毒
1.使用 rm 命令直接刪除,會發現提示無法刪除,應該是使用了chattr命令將文件鎖定了
使用命令: chattr -i {文件名} 即可正常刪除
2.在/etc/目錄下還發現一個守護進程文件 /etc/update.sh 也一並刪除了
3.檢查是否還有免密登錄的后門文件 /root/.ssh/authorized_keys 也一並刪除
4.檢查定時任務 crontab -l 將可疑任務清除
最后將服務器重啟,檢查是否還有異常
3.總結
此次挖礦病毒事件可能是由於redis服務未設置密碼導致的,由於redis還沒有正式投入到業務中,所以產生了這種疏忽。
這大概就是細節決定成敗了。
安全無小事,希望大家都能避免此類問題的發生,發生也能夠完好的解決。
本文轉載自個人網站ushowtime https://www.ushowtime.cn