版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/cpongo4/article/details/89333885
## qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机 > 之前由于goblog应用因为不知名问题导致程序crash,之前只检查过云服务内存的情况,但是其他信息暂未检查,今天远程到腾讯云服务器上top了下当前应用进程情况,突然发现首位的cpu彪到了84%,仔细一看进程名一头雾水 >
> 当时还以为是腾讯云服务器运行的后台的守护进程在监测什么数据,赶紧将进程名搜了一把发现原来是机器被人植入了挖矿脚本^-^ ### 解决方法 当时查到是病毒进程后第一时间通过`kill`将对应的进程给处理掉了,原以为打完收工问题解决,但是神奇的是过了没多久发现这个进程又出现在了top榜首
随后通过`ps -aux|grep qW3xT.6`发现该文件位于`/tmp/`下
二话不说赶紧执行`rm -rf /tmp/qW3xT.*`将脚本删除掉然后将进程kill掉,我想这下应该好了吧,结果该死的qW3xT.6进程又出现了,回头想想是不是有什么定时脚本在执行,于是列出了服务器所有的cron任务列表,结果
原来服务器被人植入了一个定时任务job,通过job中的url拿来一访问发现这个定时任务会定时从远程服务器上去拉取脚本,然后执行对应的任务,对应脚本地址:http://104.248.251.227:8000/i.sh
为什么会有人能将Job通过root权限写入机器呢,表示很不解,登陆到腾讯云后台发现有安全入侵检测记录
居然被人暴力破解了root用户,尝试了1300次。。。。发现腾讯云这个安全做的真是好极了!!! 接着通过`crontab -e`将对应的任务Job删除,kill掉对应的挖矿进程,然后修改root密码,至此挖矿病毒问题终于被移除了,通过观测top信息再也没出现过类似进程。
> 当时还以为是腾讯云服务器运行的后台的守护进程在监测什么数据,赶紧将进程名搜了一把发现原来是机器被人植入了挖矿脚本^-^ ### 解决方法 当时查到是病毒进程后第一时间通过`kill`将对应的进程给处理掉了,原以为打完收工问题解决,但是神奇的是过了没多久发现这个进程又出现在了top榜首
随后通过`ps -aux|grep qW3xT.6`发现该文件位于`/tmp/`下
二话不说赶紧执行`rm -rf /tmp/qW3xT.*`将脚本删除掉然后将进程kill掉,我想这下应该好了吧,结果该死的qW3xT.6进程又出现了,回头想想是不是有什么定时脚本在执行,于是列出了服务器所有的cron任务列表,结果
原来服务器被人植入了一个定时任务job,通过job中的url拿来一访问发现这个定时任务会定时从远程服务器上去拉取脚本,然后执行对应的任务,对应脚本地址:http://104.248.251.227:8000/i.sh
为什么会有人能将Job通过root权限写入机器呢,表示很不解,登陆到腾讯云后台发现有安全入侵检测记录
居然被人暴力破解了root用户,尝试了1300次。。。。发现腾讯云这个安全做的真是好极了!!! 接着通过`crontab -e`将对应的任务Job删除,kill掉对应的挖矿进程,然后修改root密码,至此挖矿病毒问题终于被移除了,通过观测top信息再也没出现过类似进程。