linux云服务器病毒处理
阿里云服務(wù)器被挖礦病毒入侵,CPU跑滿,需要先停止相關(guān)進(jìn)程。為了根除病毒,還需要
- 解決系統(tǒng)的后門(mén)問(wèn)題(這部分聽(tīng)從阿里云工程師的建議備份系統(tǒng)盤(pán)快照后重置系統(tǒng),再通過(guò)快照恢復(fù)數(shù)據(jù))
- 然而重置系統(tǒng)后依然存在出現(xiàn)不定期挖礦程序跑滿CPU的問(wèn)題,查找相關(guān)資料后找到了對(duì)應(yīng)的進(jìn)程的父進(jìn)程(PID為1的守護(hù)進(jìn)程),刪除了相關(guān)的系統(tǒng)任務(wù)
一、挖礦進(jìn)程處理
-
通過(guò)
top找到跑滿CPU的進(jìn)程注:
- 注意到CPU占用率極高,顯然就是PID為979的進(jìn)程
- 查找相關(guān)資料可知,c3pool為挖礦程序
-
進(jìn)而可以通過(guò)
kill -9 pid殺死進(jìn)程,但建議還是kill -SIGSTOP PID暫停進(jìn)程,方便后續(xù)相關(guān)信息的查找
二、問(wèn)題的根除
重置操作系統(tǒng)
- 原因:“病毒一旦入侵系統(tǒng),通常會(huì)執(zhí)行替換系統(tǒng)命令、植入后門(mén)、修改計(jì)劃任務(wù)等等一些列操作,很難發(fā)現(xiàn)和完全根除。”
- 解決:進(jìn)入阿里云控制臺(tái)
- 生成系統(tǒng)快照
- 重置操作系統(tǒng)
- 通過(guò)系統(tǒng)快照恢復(fù)數(shù)據(jù)
解決殘留問(wèn)題
-
原因:重置系統(tǒng)后依然存在出現(xiàn)不定期挖礦程序跑滿CPU的問(wèn)題
-
解決
-
查看root用戶的定時(shí)任務(wù):
crontab -l注:發(fā)現(xiàn)并沒(méi)有
-
查看守護(hù)進(jìn)程下的服務(wù)
參考:詳細(xì)解決服務(wù)器的挖礦病毒和端口掃描器 - 墨天輪 (modb.pro)
-
通過(guò)
cat /proc/979/status確定挖礦程序的父進(jìn)程:PPID=1,即系統(tǒng)守護(hù)進(jìn)程 -
通過(guò)
systemctl list-units --type=service --all --state=active查看系統(tǒng)進(jìn)程的相關(guān)服務(wù)注:這里運(yùn)氣很好,相關(guān)的服務(wù)名就是c3pool,直接定位到了病毒服務(wù)
-
通過(guò)
systemctl stop c3pool關(guān)閉病毒服務(wù)進(jìn)程 -
通過(guò)/etc/systemd/system找到病毒服務(wù)進(jìn)程的配置文件,刪去即可
-
重啟系統(tǒng)后,再次通過(guò)
systemctl list-units --type=service --all --state=active查看系統(tǒng)守護(hù)進(jìn)程的服務(wù),沒(méi)有出現(xiàn)病毒服務(wù)進(jìn)程,且之后沒(méi)有再出現(xiàn)挖礦程序,問(wèn)題解決
-
-
三、其他建議
- ssh端口不要使用默認(rèn)的22,最好做一定的偏移,以防止被爬蟲(chóng)掃描破解
- 加強(qiáng)root賬戶的ssh密碼強(qiáng)度
- 設(shè)置登錄IP的白名單
- 使用阿里云快照定期備份,以及時(shí)恢復(fù)錯(cuò)誤內(nèi)容
總結(jié)
以上是生活随笔為你收集整理的linux云服务器病毒处理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 如何使用Redisson实现分布式锁?
- 下一篇: Linux 485驱动通信异常