首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

当你的服务器被当矿机

今天在使用 jenkins 部署一个项目的时候,感觉页面的速度加载很慢。于是登上服务器看了一下,使用看了一眼,出现了以下的情况:

发现的使用率基本为100%,这肯定不正常,发现主要是由一个叫qW3xT.2 的进程占据着,于是上网查了一下,发现这个是一个专门用于挖矿的病毒,也就是说,我的服务器被人当作矿机了。em.....好像不是很能忍,那只能想办法干掉它了。

网上也有一些解决办法,通常来说这个;病毒就是在服务器上不断的设置定时任务,然后通过不断获取脚本执行计算任务进行挖矿。杀死进程无效,定时任务会不断的重启服务。通常的解决办法就是,通过打印远程的脚本,看这个脚本是会下载什么内容,然后根据脚本的的执行情况去删除文件,最后杀死进程来解决问题。但是当我使用这个方法来解决问题的时候,有点不太对劲了。服务器上留下的定时任务如图所示:

然后我就通过打印脚本去获取内容:

这里面居然是另一条获取内容的脚本,和网上出现的情况都不太一样,于是顺藤摸瓜,再次获取一次,得到了下面的内容:

em.....居然直接就是一个可执行的文件。也根本没办法找出来这个程序执行的操作,这就有点难搞了。删除那是不可能的,手动删除的速度根本比不上程序的速度。稍微观察了一下,发现服务器的定时任务脚本删除后,它都会利用剩余的任何一份脚本去远程下载,也就是说只有将它的下载路径掐断之后,应该就可以解决问题了。于是通过去获取远程下载脚本的服务器的地址:

在这里不能使用,因为它一个域名可能绑定了好几个,使用不能将所有的都查出来,所以使用靠谱一点。然后使用将封掉:

iptables -I INPUT -s 104.20.209.21 -j DROP

iptables -I INPUT -s 104.20.208.21 -j DROP

service iptables save

封掉后,然后就是将定时任务删除,杀死挖矿进程和,删除 /tmp 文件夹下的 qW3xT.2 和 ddgs.3013 文件,并且将 .ssh 下的内容都清掉,当然如果你能识别出那个是恶意的,选择性删除也是可以的。

做完了这些事情后,这个病毒总算是解决了,剩下的就是清理了,修改端口,加密码验证,确保后续这样的事情不会再发生了。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180901G02HNA00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券