【阿里云】尊敬的aliyun98********5:
經(jīng)檢測您的阿里云服務(wù)（ECS實(shí)例）i-0jl8awxohyxk****axz5存在挖礦活動。根據(jù)相關(guān)法規(guī)、政策的規(guī)定，請您于202****8 00時(shí)前完成挖礦問題整改，否則您的服務(wù)將被關(guān)停，詳情請查看郵件或阿里云站內(nèi)消息通知。
若您有其他問題，可登陸阿里云官網(wǎng)在線咨詢

在阿里云租了一個(gè)服務(wù)器，早上接到機(jī)器人電話說服務(wù)器被挖礦，啊啊啊煩死了，礦狗怎么還活著啊。

一、發(fā)現(xiàn)

先搜了下網(wǎng)上有沒有相似經(jīng)歷的，發(fā)現(xiàn)B站有個(gè)up主發(fā)了視頻 記一次服務(wù)器被挖礦的經(jīng)歷和排查 。簡單看了下他的視頻，有個(gè)比較清晰的思路了。
使用命令查看當(dāng)前進(jìn)程

ps -a

發(fā)現(xiàn)有一些奇怪的進(jìn)程，但又不確定是哪個(gè)。

阿里云網(wǎng)站上監(jiān)控服務(wù)器資源顯示突然被占用了很多資源。

top：查詢

通過CPU使用量找一下，查詢當(dāng)前的進(jìn)程使用資源狀況。

top

top以全屏交互式的界面顯示進(jìn)程排名，及時(shí)跟蹤包括CPU、內(nèi)存等系統(tǒng)資源占用情況，默認(rèn)情況下每三秒刷新一次，其作用基本類似于Windows系統(tǒng)中的任務(wù)管理器。

可以看到進(jìn)程xmrig占用了大量CPU資源，百度也可以搜到xmrig是個(gè)挖礦病毒。

二、排查

百度了一下，好麻煩，安全意識不夠強(qiáng)吧。
先查詢xmrig病毒的文件地址

ls -l /proc/進(jìn)程ID/exe

> lrwxrwxrwx 1 root root 0 Jul 11 13:04 /proc/3934534/exe -> /root/.cfg/xmrig

查到隱藏的地址，cd命令進(jìn)不去，找不到地址也無法刪除。后來發(fā)現(xiàn)是一個(gè)重定向的地址。用另一個(gè)語句查詢

find / -name xmrig

> /var/lib/docker/overlay2/860d7d30e33967a65150a3f93c5994a9077e1906e0f9ccda73ee1008803b92f1/merged/root/.cfg/xmrig
> /var/lib/docker/overlay2/860d7d30e33967a65150a3f93c5994a9077e1906e0f9ccda73ee1008803b92f1/diff/root/.cfg/xmrig

找到兩條病毒的信息，進(jìn)入到文件夾下發(fā)現(xiàn)是開的docker容器，原來是容器內(nèi)被病毒入侵了。

前兩天開了一個(gè)docker容器搭建python環(huán)境，將容器ssh通過openssh映射到公網(wǎng)端口上了，密碼設(shè)的比較簡單（123456），so被攻擊了。這個(gè)是將docker容器端口開放出來的博客

pycharm遠(yuǎn)程連接服務(wù)器docker容器內(nèi)python環(huán)境 。

到這里其實(shí)我可以直接將docker容器刪了重新啟動一個(gè)就行了，看了網(wǎng)上的教程，練練手。
礦狗還把我服務(wù)器密碼給改了（雖然只是docker容器），好氣！

三、清除

依舊查詢xmrig病毒的文件地址

top

>    PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                                                                                                                                       
>  11347 root      20   0 2440420   2.0g   4012 S 201.0  14.0   2399:29 xmrig         

ls -l /proc/11347/exe

> lrwxrwxrwx 1 root root 0 Jul 11 07:18 /proc/11347/exe -> /root/.cfg/xmrig

這次通過cd進(jìn)入文件可以看到多個(gè)病毒文件

cd /root/.cfg/
ls

> bios.txt  ps  xmrig

其中bios.txt是三個(gè)ip（172.18.0.1-3）。
直接將整個(gè)病毒的文件夾刪除

rm -rf /root/.cfg

殺死進(jìn)程

kill -9 11347

至此病毒清理完畢了，服務(wù)器恢復(fù)正常。

這里我沒遇到定時(shí)任務(wù)的問題，因?yàn)椴《疽话銇碚f都比較頑固，在其他問題中介紹下。

四、其他問題

其他博客提到了有定時(shí)任務(wù)的問題，粘在這里參考吧。

1.定時(shí)任務(wù)crontab

通過 crontab -l 發(fā)現(xiàn)沒有定時(shí)任務(wù)，但是會重新啟動
cd /etc/ 查看crontab文件發(fā)現(xiàn)有隱藏的定時(shí)任務(wù)
通過rm刪除文件時(shí) rm -rf /etc/crontab ，沒有權(quán)限

chattr -ia /etc/crontab
rm -rf /etc/crontab

刪除后在./etc目錄下多看幾個(gè)crontab文件，發(fā)現(xiàn)病毒備份了多個(gè)定時(shí)任務(wù)，只要不是自己的定時(shí)任務(wù) 直接刪文件就好了

2.定時(shí)任務(wù)2

5.刪除定時(shí)任務(wù) rm -rf /var/spool/cron
6.刪除ssh認(rèn)證信息 rm -rf ./ssh/
7.原因，有可能是redis等程序?qū)е拢?br />8.盡量使用內(nèi)網(wǎng)鏈接，不要暴露端口號或者外網(wǎng)地址

3.禁用root遠(yuǎn)程登錄

禁用 root 遠(yuǎn)程登錄的方法（用其它用戶su過去）：

sudo vi /etc/ssh/sshd_config

關(guān)閉 root 遠(yuǎn)程登錄
Find PermitRootLogin and set to no:

PermitRootLogin no

重啟 ssh 服務(wù)

sudo service ssh restart

到此這篇關(guān)于【專家教程】xmrig挖礦病毒清除攻略，保護(hù)你的服務(wù)器免受侵害！的文章就介紹到這了,更多相關(guān)xmrig挖礦病毒清除內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論