一次挖矿入侵服务器记录

缘由

2020年12月份，用自己用户账号登录，发现实验室一个小型服务器在运行xmrig程序，google了一下疑似挖矿相关的软件。可能服务器被入侵了，最后尝试用root账号登录，结果发现别人修改了... 唯一的办法先关机了

image.png

需要修改一下root密码了，下面记录一下修改过程，感谢薄大佬指导。

参考：

在Linux下修改和重置root密码的方法(超简单)Linux脚本之家】
[原创]一次挖矿入侵处理记录(2021.01.27)
centos7修改root用户密码

---

操作：

1.服务器连接显示器

(有些服务器比较老，只有DVI接口，确保你的显示器有这个接口)

DVI

VGA

2.重启电脑

开机过程中，快速看键盘上下方向键，暂停引导程序；敲击e键，在LANG=en_US.UTF-8 后面加上 init=/bin/sh

image.png

3.Ctrl+X 进入引导启动(单用户模式)，并依次输入下面命令

(如果键盘输入，屏幕上不显示，输入xtty echo)

• 挂载根目录 mount -o remount, rw /
• 修改root账号密码：passwd root

类似下面效果

image.png

4.更新系统信息 touch /.authorelabel

touch /.authorelabel

5.最后输入以下命令重启系统即可

exec /sbin/init 或 exec /sbin/reboot
(图形界面进入命令行界面ctrl alt f2)

接下来 root登录服务器

• 登录系统

  
  
  image.png
• 看到xmrig 程序,进行删除
  
  image.png

网络安全很重要!!!