阿里云服务器ECS较便宜的版本,其安全性不高。如果再加上人为相关的不当操作,服务器很容易受到攻击。
其中一种情况是服务器受到挖矿程序的攻击。
登录到服务器查看进程,可以发现CPU占用很高的两个程序:sysupdate和networkservice。
清理过程
常规操作
- 查看挖矿程序目录
输入命令ls -l proc/{进程号}/exe,可以查看该程序的目录。
到etc下,通过查看创建时间,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了。 - 杀掉进程
直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令。
我们使用chattr -i sysupdate,然后再rm -f sysupdate即可正常删除。 - 删除文件
删除networkservice、sysguard、update.sh、config.json文件。
同时对/root/.ssh/authorized_keys 删除或修复
root用户额外操作
- 修复SELinux
病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。 - wget命令和curl命令会被改为wge和cur,需要修改回来
mv /bin/wge /bin/wget
mv /bin/cur /bin/curl
mv /usr/bin/wge /usr/bin/wget
mv /usr/bin/cur /usr/bin/curl
总结
为了提高服务器的安全性,请尽可能避免做出太多影响安全性的操作,比如开方过多而不会用上的端口。
受到攻击的服务器或多或少都会有一定影响,。如果服务器上没有什么太重要的东西,可以考虑还原服务器。
参考文章:
https://notes.daiyuhe.com/clear-linux-mining-virus/
https://help.aliyun.com/knowledge_detail/41206.html
来源:CSDN
作者:kuerkaluo
链接:https://blog.csdn.net/qq_34442563/article/details/103846133