前言因服务器无意间CPU高达96%,访问很慢;在排查问题的时候竟然发现了服务器被挂上了挖矿程序;
1、挖矿程序的名称列表:
networkservice
sysguard
update.sh
config.json
sysupdates
kow930kd
kow709kd
创新互联建站是一家集网站建设,深泽企业网站建设,深泽品牌网站建设,网站定制,深泽网站建设报价,网络营销,网络优化,深泽网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。
2、挖矿程序的日志名称列表
101_og
275_og
2_og
630og
sess*****
3、处理方法
1) 使用top方法找到所有可疑文件进程的PID号
2) #kill -9 $PID
3) 找到文件所在目录,删除所有可执行文件 #ls -l /proc/$PID/exe
4) #rm -rf networkservices 【分别删除,有多少删除多少】
5) 删除/root/.ssh/authorized_keys #rm -rf /root/.ssh/authorized_keys
6) 删除/var/spool/cron/daemon #rm -rf /var/spool/cron/daemon
7) 如果有系统命令被篡改,把命令改回原来状态
#mv /bin/wge /bin/wget
#mv /bin/cur /bin/curl
上述命令根据服务器情况修改
8) 查看iptables防火墙
挖矿程序修改的命令如下
iptables -F
iptables -X
iptables -A OUTPUT -p tcp --dport 3333 -j DROP
iptables -A OUTPUT -p tcp --dport 5555 -j DROP
iptables -A OUTPUT -p tcp --dport 7777 -j DROP
iptables -A OUTPUT -p tcp --dport 9999 -j DROP
iptables -I INPUT -s 43.245.222.57 -j DROP
上述端口在防火墙中查看是否存在,根据情况删除规则链;
