linux服务器被挖矿的解决方案
更新时间:2025年09月01日 14:13:47 作者:还是少年呀
发现服务器CPU被挖矿进程占用,删除源程序、脚本及定时任务,阻断外网连接,排查登录IP确认安全,提醒:密码需严格保护,防止入侵
一、前言
本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源,尝试使用kill命令终止该进程后发现几秒钟进程又重启了,资源一直处于耗尽状态,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。知道问题所在,那就好办了。
二、解决办法
想法:先删除源程序,然后删除脚本,然后删除定时任务,最后kill所有的恶意进程(因为直接kill后会进程还会重启)。
1. 阻断挖矿程序链接外网服务。
- 查看/etc/hosts的内容是否被恶意篡改
- 查看发现该文件增加了下述两行代码,将其删除:
- 在/etc/hosts里增加一条
127.0.0.1 g.upxmr.com
阻断挖矿程序链接外网下载可执行文件,除非把服务器网断了。
2. 删除定时任务及文件
使用 crontab -l 查看当前用户的定时程序,然后确认是恶意的定时程序,使用 crontab -r删除。
一般情况使用crontab -l是看不到的挖矿的程序,需要查看/etc/crontab。但是本处使用crontab –l发现了挖矿脚本所在位置,删除后再确认/etc/crontab文件内容无修改。
- 正常的/etc/crontab文件内容如下:
3. Kill掉所有的挖矿程序。
三、后续
长时间观察发现CPU的资源占用并未升高,说明问题是初步解决了,但是根源还没找到,因为我们的服务都是部署在内网的,挖矿程序是从哪个入口侵入的还有待排查。
IP登录排查
- 登录日志查看:
last -f /var/log/wtmp last -f /var/log/wtmp.1
结合.bash/bash指令的创建日期查找到当天登录的用户信息,然后结合登录的IP分析,就能知道是内部人员盗用还是被外面的人当矿机了。
当然也不排除是内部人员将登录IP替换的可能性。然后通过IP可分析是从哪里入侵的了。
四、总结
无论什么账号,千万不能用偌密码,不然后果很严重!
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
Linux crontab是采用定期执行程序的命令,当安装完成操作 系统后,默认便会启动此任务调度命令,crond命令每分钟都会定期检查是否要执行任务的工作,如果要执行的工作便会自动执行该任务。本文主要介绍了定时任务Crontab的使用,需要的可以学习一下2023-04-04
这篇文章主要介绍了Linux中SELinux三种模式的启动、关闭与查看方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-02-02
在本篇文章里小编给大家整理了一篇关于Linux系统关机命令之间的区别及用法详解内容,有需要的朋友们参考学习下。2020-12-12
本篇文章主要介绍了详解Linux Centos7下安装Python的方法,具有一定的参考价值,有兴趣的可以了解一下。2017-01-01
在本篇文章里小编给大家整理了关于嵌入式Linux开发环境搭建ping、nfs的解决方法,需要的朋友们学习参考下。2019-07-07
Linux中的输入输出重定向和追加是通过文件描述符来控制的,常用的重定向符号包括<、<<、>、>>、2>、2>>和>&,这些符号可以用于覆盖或追加输出到文件,也可以用于合并标准输出和错误输出2024-12-12
我们知道Windows系统下可以同步网络时间,那么Linux系统下有没有相同的功能呢,今天为大家介绍2Linux系统下同步网络时间的方法2018-10-10
这篇文章主要介绍了阿里云服务器ubuntu 配置方法,本文分步骤给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2018-10-10
使用 Linux 操作系统时,可能会遇到磁盘空间不足的错误,这种错误通常会导致系统运行缓慢或崩溃,本文将介绍磁盘排查的方法,文中通过代码示例给大家介绍的非常详细,需要的朋友可以参考下2024-02-02
VirtualBox 错误:This kernel requires the following features no
这篇文章主要介绍了VirtualBox 错误:This kernel requires the following features not present on the CPU的相关资料,希望通过本文能帮助到大家,解决这样的问题,需要的朋友可以参考下2017-10-10
最新评论