记一次云服务器疑似挖矿程序的应急响应

【故事梗概】

某天下午，我正在vulhub上冥思苦想，手机突然响了，歪头一看发现是阿里发来的短信，仔细一看竟然是说我的服务器有挖矿程序。我：？？？于是开始排查。

【正文】

1.登陆控制台看cpu占用情况

emm行

2.改当前实例的安全访问策略

除了22都禁掉

3.用root用户的top命令，查看当前进程，根据日志，找到可疑目标

忘了截图。。。

日志里重复调用资源的和排在top第一的是叫ipv6_addrconfig的进程，占了内存99.2%，kill -9 了2次，每次kill完过3min就又回升。我在想。。难不成是误报？哪有叫这名字的，不像传的啊

4.根据阿里提供的排查手册查找是否有已知的攻击样本

都是not found

5.修改可疑目标所在用户密码

因为占用率最高的进程所属一个普通账号，所以用passwd改了密码，以免真的被搞到root（虽然不大可能）

6. 删除相关文件

因为我的vulhub搭在这个普通账户里，所以我就想着把vulhub删了。还好一开始我男神教我用docker搭，直接 docker rmi -f $(docker images -q)

然后就平静了。

 

【总结】

这次有点冲动，没有想清楚是因为docker+vulhub的镜像太过占cpu还是真的因为防护措施不到位被人搞了（毕竟相当于裸奔）。。。

提醒我自己每次要记得 -v。。。

在这里要谢谢我男神！我还不知道他的笔名 但是他也看不到我这篇文章 因为他觉得发文章很无聊还很幼稚略略略