某日，正在午休中，突然一則噩耗從前線傳來：網(wǎng)站不能訪問了!

作者：我叫劉半仙

?

某日，正在午休中，突然一則噩耗從前線傳來：網(wǎng)站不能訪問了!

圖片來自 Pexels

此項目是我負責，線上服務(wù)器用的是某訊云的，運行著 Tomcat，MySQL，MongoDB，ActiveMQ 等程序。

排查過程

我以 150+ 的手速立即打開了服務(wù)器，看到 Tomcat 掛了，然后順其自然的重啟，啟動過程中直接被 killed，再試試數(shù)據(jù)庫，同樣沒成功，多次嘗試甚至重啟機器無果。

機智的我打了個 Top，出現(xiàn)以下內(nèi)容：

這是誰運行的程序?不管三七二十一先殺掉再說，因為它就是 Tomcat 等程序啟動不了的元兇。

然而并沒有什么卵用，過一會再看那個東西又跑出來占 CPU。懷疑是個定時任務(wù)：

什么鬼，是個圖片?立即訪問了一下：

好尷尬，但是心思細膩的我早知道沒這么簡單，肯定只是偽裝，crul 過去是下面的腳本，過程就是在挖礦：

有興趣的同學想查看以上完整源代碼，命令行運行下面指令(不分操作系統(tǒng)，方便安全無污染)：

既然知道它是個定時任務(wù)，那就先取消了它，并且看看它是誰在運行：

殺掉，找到存放目錄：

進入臨時目錄：

被我發(fā)現(xiàn)配置文件了，先來看看內(nèi)容：

虎軀一震，發(fā)現(xiàn)了不少信息啊，User 是他的 Server 的登錄用戶,下面是密碼，只可惜加密過，應(yīng)該找不到對方。

算了，大度的我先不和你計較。干掉這兩個文件后再查看 Top：

解決辦法

找到寄生的目錄，一般都會在 tmp 里，我這個是在 /var/tmp/。首先把 crontab 干掉，殺掉進程，再刪除產(chǎn)生的文件。啟動 Tomcat 等程序，大功告成!

等等，這遠遠不夠，考慮到能被拿去挖礦的前提下你的服務(wù)器都已經(jīng)被黑客入侵了，修復漏洞才對，不然你殺掉進程刪掉文件后，黑客后門進來 history 一敲，都知道你做了啥修復手段。

所以上面辦法治標不治本，我后續(xù)做了以下工作：

• 把所有軟件升級到新版本。
• 修改所有軟件默認端口號。
• 打開 ssh/authorized_keys，刪除不認識的密鑰。
• 刪除用戶列表中陌生的帳號。
• 封了他的 ip。
• SSH 使用密鑰登錄并禁止口令登錄(這個一般是加運維一個人的秘鑰)。

對了，本次遭受攻擊是低版本 ActiveMQ 開放端口 61616 有漏洞，大家記得做優(yōu)化。

遇到挖礦木馬最好的解決方式：將主機鏡像、找出病毒木馬、分析入侵原因、檢查業(yè)務(wù)程序、重裝系統(tǒng)、修復漏洞、再重新部署系統(tǒng)。

寫在最后

網(wǎng)友提供的一勞永逸終極解決辦法：把你自己的挖礦腳本掛上去運行，這樣別人就算掛腳本也跑不起來了。

閱讀目錄（置頂)(長期更新計算機領(lǐng)域知識）

閱讀目錄（置頂)(長期更新計算機領(lǐng)域知識）

閱讀目錄（置頂)(長期科技領(lǐng)域知識）

歌謠帶你看java面試題

總結(jié)

以上是生活随笔為你收集整理的第七十六期:糟糕！服务器被植入挖矿木马，CPU飙升200%的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。