网络营销的发展前景,重庆网站seo诊断,建筑工程施工招聘信息,扬州外贸网站建设0 序言 我之前搭建的hadoop用于测试#xff0c;直接使用了8088和9870端口#xff0c;没有放入docker#xff0c;从而没有端口映射。于是#xff0c;就被不法之徒盯上了#xff0c;hadoop被提交了很多job#xff0c;使得系统被感染了挖矿病毒#xff0c;在前几天阿里云站…0 序言 我之前搭建的hadoop用于测试直接使用了8088和9870端口没有放入docker从而没有端口映射。于是就被不法之徒盯上了hadoop被提交了很多job使得系统被感染了挖矿病毒在前几天阿里云站内消息告知我的轻量级服务器有挖矿行为时我才着手处理此事。
1 清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前应该检查是否存在后门以防止坏东西通过后门再次侵入。 所谓后门我检查了路由条目和定时任务
是否有多出来的定时任务非自己加入的定时任务是否有多出来的路由条目是否是应为集群中其他的服务器被感染该服务器是被传染的说实在的我一开始就检查了前两条这也为后来挖矿程序的死灰复燃埋下了伏笔。这样子我的清理工作也变成了两轮。
2 清理工作记录 我参考了这位博主的博文
Linux挖矿病毒清理流程https://blog.csdn.net/ouxx2009/article/details/123479424 2.1 先KILL挖矿进程翻车 先用top查看cpu占用率大的进程的PID如图所示 前一段被挡掉了但是从第二条命令systemctl status 16760可知该进程的PID是16760。先键入chmod 600 /run/systemd/transient/session-10938.scope降低权限然后用rm命令删除。 接着从下往上kill进程
kill -9 16760
kill -9 6632
2.2 清除定时任务翻车 喜闻乐见2min后这个进程又起来哈哈。于是我就去检查了定时任务使用crontab -e命令发现多了三条没见过的定时任务直接手动删除即可然后我等了10min多看他还没起来就安心睡觉去了。 第二天起来我看了一眼挖矿进程没起来我还以为这就结束了。出乎意料几天后站内信告知我仍有挖矿服务挖矿进程又起来了
2.3 排查路由条目和集群其他云服务器DONE 我查看了控制台的监控图表发现确实是过了几天才起来的如图所示 我提交了工单阿里云的员工替我摸查了一遍建议我摸查路由表。 于是我按照建议摸查了路由表发现并没有多出来的路由条目只有原来指向集群中另外两台腾讯云的路由接着我开始摸查腾讯云的那两台服务器。结果发现那两台确实有很大可能是跳板机我查看了那两台服务器的定时任务发现也有多出来的定时任务但用top命令查看了却没有进程。定时任务我全部清理了。然后又按照原顺序把挖矿进程又kill了一遍暂时就到这里吧。
3 后续 按照上面这张图来看我不知道还能再太平多久我希望这个博客不要再有后续了哈哈啊哈。
