阿里云服务器被植入挖矿程序处理过程记录
1. 阿里云告警:
2. 测试人员反应管理后台与API接口无法访问
3. 登录服务器查看运行情况,发现CPU处于高度工作状态
4. 由告警详情可知木马程序文件路径:/root/.config/logrotate,于是临时处理方案定为:1杀掉木马程序进程;2删除程序文件。
4.1 编写杀进程脚本 kill-logrotate.sh (因为进程ID变得很快),保存以下内容后执行即可:
#!/bin/sh
# 杀死恶意程序
NAME=logrotate
echo date +%c" ----- "$NAME >> kill.log
ID=`ps -ef | grep "$NAME" | grep -v "$0" | grep -v "grep" | awk '{print $2}'`
echo "id has $ID..." >> kill.log
echo "------start kill---------" >> kill.log
for id in $ID
do
kill -9 $id
echo "killed $id" >> kill.log
done
echo "------end kill---------" >> kill.log vi kill-logrotate.sh # 编写脚本保存以上内容
chmod +x kill-logrotate.sh # 添加可执行权限
sh kill-logrotate.sh # 执行脚本4.2 执行后可查看 kill.log 日志,或执行 ps -ef|grep logrotate
4.3 删除程序文件:
rm -f /root/.config/logrotate5. 查询是否有创建相关服务,有则删除:
6. 查询服务文件位置并删除:
7. 查询是否有恶意程序的定时任务,有则删除,需要root用户:
当编辑/etc/crontab文件时会提示文件为只读文件,不能编辑,此时需要先变更文件只读属性:
删除其它定时任务文件,删除前确定任务内容,确认为木马内容则删除:
8. 查询开机启动项与登录启动项:
9. 登录阿里云重新设置服务器密码
10. 关闭不安全端口,如用于远程调试端口,此次问题就是因为这台测试服务器开启了远程调试端口造成的~_~!!!