linux 记一次阿里云服务器被挖矿攻击后

摘要:

本人很荣幸的服务器被挖矿攻击,攻击后CPU占用100%,网站登不上,ftp连接不上,用远程连接软件也连接不上.然后也没有钱买备份系统镜像,里面 其实没啥,但是之前安装的软件,不想再重按了.很麻烦,就自己硬着头皮尝试解决下,以下为个人处理步骤

 

处理方案:

1. 先将被攻击的端口屏蔽掉,防止二次攻击.

2.查看阿里云告警信息

3.点击[处理],进入告警信息处理界面

4. 进入此页面后,鼠标悬停在查看 [待清理] [待清除] 这些都是需要删除的

5. 解决远程连接连接不上问题

    1) 点击 页面头部 [控制台],然后就可以直接进入控制台界面,并且CPU会自动下降,这时用远程连接程序就可以连接到服务上.

    2) 可以使用 shell命令 查看所有定时任务,

for u in `cat /etc/passwd | cut -d":" -f1`;do crontab -l -u $u;done

6. 连接到服务器后,根据 [告警信息]  删除[待清除]和[待删除] 项

可以使用shell脚本删除.

     1) 因为 [待清除] 的文件是在/etc 目录下,阿里云不允许删除,若直接使用 rm -rf 文件名  命令时会报 Operation not permitted 错误 这时需要我们使用 root 权限,然后 先使用shell命令 chattr -i 要删除的文件名 命令 ,然后再使用 删除文件命令 rm -rf 文件名

     2) 对于那个定时任务,我刚开始尝试删除它.但一直删除不掉,后来把那些待清除的文件删除后,那个定时任务也就自己消失了

然后整个系统就正常了

个人网站:

https://lutongli.com Dram乘风

www.i5lu.com 爱五楼 未可期