第一次遇到服务器被植入了挖矿程序,慌的一匹。下面说说我处理这个故障的简单操作,
每天早晨上班第一件事就是打开监控,查看服务器资源占用情况,发现我服务器的双核CPU一直占用率100%。
通过xshell连接,使用top命令再次查看确认
这个xig不知道是什么鬼程序,通过群里的大佬说使用 lsof -p 16241(PID号) 查看下这个进程调用了那些程序;
看完这些才发现还是一脸懵逼无从下手,当然大伙可能会说使用kill -9 16241 结束这个进程不就完了?如果这样就解决了那就不叫病毒了,我kill了之后不用1秒钟它立马又自动启用了。不死心我再使用ps -aux | grep xig 或者 ps -aux 找到xig这个名词相关的信息;
通过这个信息提供的URL 地址去百度上查了一下资料,发现是个挖矿链接;
既然确认了不是正常程序,那么接下来就是如何处理掉它;经过上面的信息可以确认这个进程的启动程序路径再 /opt/yilu/work/xig/xig ,我先使用rm -rf /opt/yilu 删掉这个运行目录,再使用kill -9 16241 结束进程,结束之后再使用ps,top这些命令去查看CPU的使用情况,发现异常解除,当第二天查看服务器日志的时候出现大量的root会话日志;
看这个会话日志出现的频率是每秒一次,通过 crontab -l 查看计划任务,发现有个
* * * * * pidof mservice 的每秒执行任务,果断删除它。处理这个挖矿链接程序就告
一段落了,后面还需要多观察有没有问题。
总结以上步骤:
一:top 查看当前CPU占用最高的进程号(16241)
二:lsof -p 16241 查看这个进程的详细信息
三:ps -aux 找到xig 这个命令的运行路径
四:根据这个命令的运行内容判断它是不是正常程序(百度,询问领导及同事)
五:rm -rf /opt/yilu删掉xig运行目录
六:kill -9 16241 结束进程
七:vim /var/log/messages 查看系统日志文件,发现大量会话连接信息,规律平均每秒一次
八:crontab -l 查看计划任务,找到匹配的计划删除
写的不好请多包涵!