服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)

服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)

前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱、短信以及电话通知(监管部门是不允许服务器被直接或者间接挖矿)
首先是CUP爆满,远程登录不了,通过将服务器重启以后可以远程登录了。以kswapd0进程为例,其他进程类似,下面就是具体步骤了。

可参考阿里云的:挖矿程序处理最佳实践

注:如果你的服务器购买了付费版云安全中心,在云安全中心插件正常的前提下,可以利用付费版的主动防御及安全告警处理的功能来手动扫描下,对于检测到的威胁,你可以在安全告警处理页面进一步核实处理。应该可以直接处理掉。(如果没有,看下面的处理)

服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)_第1张图片
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)_第2张图片

1.在系统里面top一下,查看了所有进程

服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)_第3张图片
看到这些进程一直在变化,但是,主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。

2.排查kswapd0进程

2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息

netstat -antlp | grep kswapd0

在这里插入图片描述
发现一个与本机端口通信的是一个荷兰的ip
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)_第4张图片
2.2执行命令netstat -antlp | grep 194.36.190.30 查询该地区ip的其他网络占用情况

netstat -antlp | grep 194.36.190.30

在这里插入图片描述
发现只有这一个进程(当然,很有可能花卉有其他进程)

3. 查找进程的详细信息

我们来到/proc/目录下查找对应的pid号,即/proc/497。可以在这目录下找到kswapd0进程的详细信息。

ll /proc/497

服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)_第5张图片

4.查看进程的工作空间

ps -ef | grep kswapd0

在这里插入图片描述
执行完后可以看到进程的pid以及进程相关文件的位置

5.切换到木马程序目录并删除

在这里插入图片描述

rm -rf /var/tmp/.copydie

6.清理定时任务

很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)

查看定时任务:
crontab -l
清理计划任务: 
crontab -e

清除后将定时任务里的相关文件都清理干净,若有其他用户,将其他用户的定时任务也清理。

7.杀掉kswapd0进程

最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启

#kill -9 kswapd0进程的PID
kill -9 497

8.总结

  • 就是跟着进程找找目录,然后杀进程,清目录
  • 清定时任务
  • 服务器的ftp端口最好别用22,密码尽量设置复杂点
  • 尽量用密钥连接服务器,最好别用账号密码连接
  • 封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
  • 密码增强复杂性
  • 及时修补系统和软件漏洞

你可能感兴趣的:(Linux)