今天线上服务器被黑客攻击中挖矿病毒,打了阿里云售后电话解决了,现记录一下
1、用top命令查看进程
top
2、查看可疑的进程,我的进程名字是kdevtmpfsi 杀死该进程
kill -9 pid
3、找到该进程文件在阿里云后台可以看见 删除响应的文件
rm -rf xxx
4、如果杀死之后后续还有,查看是否有自启动程序
/var/spool/cron/root
5、编辑文件,如果有可疑的自启动程序,删除就行
vim /var/spool/cron/root
6、编辑 按i进去编辑,把响应的定时删掉,然后按esc 再输入 :wq 退出编辑,
后续把该访问域名指向一个不能访问的地址
pool.hashvault.pro 访问域名
6.5.3.2 指向的ip
echo 6.5.3.2 pool.hashvault.pro >>/etc/hosts