解决阿里云服务器被挖矿

昨天下午下班前收到两条手机短信，一条是阿里云安全监控发现一次异常登录，另一条是发现挖矿程序恶意脚本执行。

 

当时我还在ssh连着服务器，top查看了一下资源占用，发现cpu占用几乎100%， 其中一个mysqld的进程占了很高。

 

查看/etc/.x目录发现了xhide文件和mysqld文件，还有其他的文件，尝试删除一个文件，结果报Operation not permitted，lsattr发现所有文件都有i属性，用chattr -i后就可以删掉所有文件。

 

用lastb查看最近登录失败的记录，发现最近几天每天都有一堆的登录尝试，感觉有可能被暴破了。

 

然后发现~/.ssh/authorized_keys文件昨晚被改动过，添加了一行记录，一定是攻击者利用漏洞上传的可以免密登录，删除以绝后患。

 

用crontab -l查看定时任务没有发现异常。

 

上网查了一下这个是门罗币挖矿木马，详细分析参考：腾讯主机安全（云镜）捕获WatchBogMiner挖矿木马新变种，约8000台服务器受控挖矿 - 威胁研究首页_威胁检测平台_联合实验室_研究报告_威胁通告_荣誉认证 - 腾讯安全 (tencent.com)