服务器被挖矿了怎么办,实战清退

当我们发现服务器资源大量被占用的时候,疑似中招了怎么办

第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源

第一步检查高占用进程

复制代码
top -c 
ps -ef 

要注意这里%CPU,如果出现100.0之类或者异常高占用的进程,那么毋庸置疑它正在被奴役挖矿

可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了

那么我们怎么清退它呢?

复制代码
ps -ef | grep xmrig

ps -ef | grep sysetmd

这里杀掉sysetmd进程

复制代码
kill -9 475

我们可以在这里找到木马程序所在的目录,咱们进去把这些文件全删除了

复制代码
rm -rf xmrig*

rm -rf /opt/sysetmd

删除了文之后,我们需要杀掉该挖矿进程

kill -9 挖矿进程的pid

复制代码
kill -9 1138

这样挖矿的进程已经被删除了,还得做点其它的事

复制代码
grep -rlE "\\-\\-donate\\-level|xmrig|\\/opt\\/sysetmd" /etc/systemd/system/*

发现这两个不知道哪里来的服务,进去look look

可以发现它还是与木马有关,那我们得弄它

复制代码
rm -f /etc/systemd/system/sysetmd.service
rm -f /etc/systemd/system/monero.service

好了服务弄没了

然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务

复制代码
crontab -l

我这里没有异常的定时

然后,我们看看有没后门用户

复制代码
cat .ssh/authorized_keys

这里我就不演示了,我用的事账号密码登录 ssh

我直接查看有没有留后门用户

复制代码
cat /etc/passwd

有一个异常的账号,除了root,居然还有一个超级权限,这确定不是自己以及其它开发人员创建的

那么我们干他丫的

复制代码
userdel shaojiang99

发现它被一个进程为1的进程使用

注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办

直接vipw

直接删除这个账号,发现怎么都保存不了,权限给过去也是没有办法

那我们来看看这个文件的属性

复制代码
lsattr /etc/passwd

发现该文件的属性为i 锁定状态

复制代码
chattr -i /etc/passwd

然后再编辑 vipw

发现可以保存了

复制代码
chattr +i /etc/passwd

重新锁定

清理完了

相关推荐
唯独失去了从容8 分钟前
WebRTC服务器Coturn服务器中的通信协议
运维·服务器·webrtc
joker_zsl1 小时前
docker的安装和简单使用(ubuntu环境)
运维·docker·容器
Run1.1 小时前
深入解析 Linux 中动静态库的加载机制:从原理到实践
linux·运维·服务器
VI8664956I261 小时前
全链路自动化AIGC内容工厂:构建企业级智能内容生产系统
运维·自动化·aigc
码农hbk3 小时前
linux ptrace 图文详解(七) gdb、strace跟踪系统调用
linux·服务器
264玫瑰资源库3 小时前
斗鱼娱乐电玩平台源码搭建实录
运维·服务器·游戏·娱乐
hotlinhao3 小时前
ThinkPHP6模型中多组条件逻辑或Or查询的使用
linux·服务器·数据库
Jogging-Snail3 小时前
从零开始掌握Linux数据流:管道与重定向完全指南
linux·运维·管道·重定向·linux 数据流·管道原理
niuTaylor3 小时前
Linux驱动开发快速上手指南:从理论到实战
linux·运维·开发语言·驱动开发·c#
fxshy4 小时前
ai聊天流式响应,阻塞式和流式响应 nginx遇到的坑
运维·javascript·nginx