记一次linux遭遇挖矿病毒之旅

开发那边构建jenkins项目发现构建失败,我去排查发现,git拉取不了代码,我一开始以为是ssh没权限,公钥失效了,后来发现22端口连接不上。

记一次linux遭遇挖矿病毒之旅_第1张图片

后来我试着ssh连接别的机器发现报同样的问题,经过网上搜索这种问题的原因,ssh服务没启动,host.deny,防火墙规则,甚至把openssh服务卸载了重装仍旧这个错误。

中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来在命令行top一看/tmp目录有个非法二进制文件占用了300%CPU,这种来历不明的二进制吃CPU的程序一般是挖矿恶意进程

我赶紧把这个进程杀掉,,删掉二进制文件。果然进程莫名重启,二进制文件重生。断定了确实是挖矿病毒。后来我查看 /var/log/secure发现文件丢失,last命令也不存在,使我察觉到,服务器应该被人非法登陆,注入了这种挖矿病毒。我赶紧修改了服务器密码,果然不出所料,把密码设置的复杂后,再次杀掉进程,删掉二进制文件,病毒不会重启了,让我断定,之前我杀过的进程,删掉的软件,非法人员又在某刻重新登陆,重新注入病毒。病毒问题临时解决了,但是我的ssh服务依旧不能使用,后来我向领导申请重装系统,因为华为云机器,比较简单操作,我做完相关的备份操作后,开始了系统还原,但令我失望的是,还原后的新系统,ssh依旧不能使用,最后无可奈何,提交了一个工单。后来我发现我的机器ssh公网iP连接失败,但是连接局域网IP可以连接,经过我和华为云技术支持相关人员配合,后台发现了,公网IP被阻塞了,它们给我的官方说法说法是一下原因导致了

公网IP被阻塞。

1. 是否有比较多的华为云账号,购买了多台服务器?
2. 是否电商类业务?
3. 有多人/频繁登陆连接华为云不同账号下多台服务器的场景?
4. 本地是否有使用批量远程连接软件工具?

后来它们把服务器给我解封了,ssh可以使用了,所以我分析我的服务器应该是,被人用来恶意挖矿,华为云后台监测到我的机器做了非法操作,便将我的机器给封了(拉黑了)。华为云官方说法是:

DDoS攻击导致流量过高。
黑客入侵控制服务器进行违法操作。
服务器流量超载过多。
等等 都会导致服务器状态异常

如果他们后台检测到服务器有以上行为便会对服务器公网IP进行阻塞封堵,避免连接别的机器,造成病毒蔓延(这一点还是挺可靠的)

经过以上总结,服务器安全问题刻不容缓。需要制定完善方案抵制同类现象发生。待更

 

 

 

你可能感兴趣的:(linux)