Linux服务器 查杀病毒木马实录

作为程序员一枚首先服务器基本安全配置： 禁用默认端口22 防止撞库等方式暴力破解服务器

命令： vim /etc/ssh/sshd_config 设置port 重启 。禁用root账户登录：vi /etc/ssh/sshd_config 设置PermitRootLogin no

然而防不胜防呀。在某云购买的服务器 在某一天cpu飙升100%，导致ssh链接变慢。访问服务变慢的解决过程。阿里云警报服务器被植入挖矿木马，与可疑矿机持续通信。

服务器是新购买的，运行着Tomcat，MySQL，MongoDB，Nginx等程序。接下来便是处理问题的过程。

首先top查看内存使用情况

多了很多未知speed进程。查看speend进程对应的启动文件

ls -l /proc/pid(303)

初步判断speed为挖矿程序。/tmp/speed为挖矿脚本。

初步解决方案pkill -9 speend

cd /tmp   rm -rf speed

至此服务器恢复正常 cpu恢复正常。

接下来检查定时任务 方式木马植入病毒程序 定时远端下载木马。

crontab -l -u root(用户) 查找所有用户的定时任务

初看肯定是没有问题。打开logo.jpg提示文件不存在。

vim /tmp/.tmp/upd

找到定时任务的脚本文件。图片路径果然只是伪装。目的是为了下载挖矿脚本。

删除定时任务 crontab -r  删除tmp下面所有的病毒文件

到这解决了病毒文件。重复挖矿的问题。

最后一步找到病毒文件感染源。首先lastlog 查看用户登录日志，没有发现异常。估计是被抹掉痕迹了。小偷偷东西一般不会留下东西的。

查看history 所有的操作命令。病毒感染日志 是9月21日

删除异常文件。至此解决问题。