生产Server遭挖矿程序入侵,暴力占用CPU
区块链的火热,利益驱使必然导致不少PC或Server,被变成肉鸡,执行挖矿程序进行挖矿,进而导致我们正常的程序无法正常。
(Centos7 Server)使用top命令查看服务器进程运行情况,发现几个较诡异进程。CPU战用长期居高不下,系统负载load average值更是高出平时近百倍,且进程运行在一个原本并不存在的用户上。系统遭入侵是必然的,并且运行着占用巨大算力的程序,联想到之前由此阿里云主机有过一次矿机入侵经历,想必这次挖矿程序入侵已是大概率事件。
下面要做的就是找出挖矿程序,清除并提升系统安全性。
可以看到三个ld-linux-x86-64命令占用较多内存,采用相关命令来查找实际的运行文件
#ll /proc/pid -- 可以罗列出相关的文件及目录
打开其中一个可疑文件pools.txt
可明显的看到这是一个挖矿程序在运行,里面显出了currency:monero7币种类型(xmr门罗币),pool_address矿池地址,wallet_address钱包址等等。采用CryptoNight算法的代表币种就是Monero,即XMR,门罗。这个是门罗币老算法,适合CPU服务器挖矿,显卡矿机挖矿。哪怕是低端办公用的I3处理器也拥有4Mb以上的三级缓存,能够用于这个算法计算。
找到挖矿程序运行的所在目录后,直接清除掉即可。诸如如下目录:
#rm -rf /tmp/bin
#rm -rf /tmp/.lsb
#rm -rf /tmp/.rpm
删除掉程序目录后,中止对应进程
#kill -9 PID PID2 PID3
通过查看非法用户是何时创建的
同时清除掉运行挖矿程序的用户
通过date -d命令,可以看出hadoop非法用户是在2018-07-04日创建出来的。
#userdel -r hadoop //连带目录一同删除
梳理下本次清除挖矿程序的步骤:
1、确定对应的进程,找出挖矿程序的目录位置
2、清除所有挖矿相关的所有文件,并中止进程
3、清除非法用户及用户组
4、更新原有账户体系下用户的密码强度,安装强有力的防护软件,提升系统安全性。
扩展阅读:
提高你的被动收入(睡后收入)
长按2秒,识别二维码,关注我。
关注程序员成长
成长的乐趣,在于分享!
|
