记一次阿里云ECS被挂挖矿代码的处理历程

起因：

公司手机收到阿里云提示短信，检测到ECS服务器出现紧急安全事件：访问恶意下载源

于是访问阿里云管理平台查看到如下信息

 

---

处理过程一：

连接到服务器，htop查看到有可疑进程，吃掉了服务器2vcpu中的1个

上网搜了一下ackng.com确认了这是一个挖矿木马程序

于是就先kill杀掉进程

然后通过find查找到了./xr所在目录 /.Xll

rm -rf /.Xll

删除该目录及目录内所有文件

继续htop观察，cpu确实降下来了

然而，过了几分钟时间后，cpu又有一个被占满了，刚才删除的/.Xll/xr又回来了

---

处理过程二：

这时候，一般就能猜到，一定有什么东西能让木马程序复制或者重新下载，怀疑是个定时任务

于是我先去阿里云改了一下密码，重启服务器，

然后发现该进程在我重新连上服务器之前就自己启动了

发现在个进程前面，有一个CROND ，说明确实有定时任务

于是接下来主要就是要找到这个定时任务

通过 systemctl list-unit-files|grep enabled

能看到有个crond.service定时服务

所以上网看了下crond服务的配置文件位置

vim /etc/crontab 打开查看

抓到了！

这里有多条黄色字，就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令，保存配置

而后，重新杀死木马进程，删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见，再次修改了服务器密码

重启服务器，观察了一阵子没有奇怪的进程了

Done！