服务器遭遇挖矿怎么办？( 二 ) _服务器

云盾-态势感知控制台查看详情和处理。

文章插图

于是登录服务器查看。我嘞靠，输入一条命令ls 反应比乌龟还慢，然后每条命令反应都在3秒才能出结果，靠， 3秒男人，我可受不了，于是从花了一天时间才解决掉，废话够多了，看下面， 1、命令 top 查看，我去，满满的cpu ，但是怎么看不到那个进程占用了CPU呢

文章插图

2、于是又使用crontab -l 查看，赤裸裸定时任务，这又是什么鬼，矿机不是解决了吗？这那来的任务，

文章插图

清除无用的定时任务。
这是挖矿程序生成的定时任务，不清除掉待会进程又起来了。

[root@alitest /tmp]$ echo > /var/spool/cron/root[root@alitest /tmp]$ echo > /var/spool/cron/crontabs/root[root@alitest /tmp]$ echo > /etc/cron.d/root

因为这台机器上没有做定时任务，所以就直接清除掉了，如果有其他在用的定时任务，不要这样哦。
4、cd /tmp/ 下，三个莫名其妙出现的文件，果断 rm -rf 文件名删除

文章插图

注意：在/tmp/下有一个文件名字是 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>
删除这个文件的时候报错：-bash: syntax error near unexpected token `('
百度之后要这样删除 rm -rf Aegis-<Guid5A2C30A2−A87D−490A−9281−6765EDAD7CBA5A2C30A2−A87D−490A−9281−6765EDAD7CBA>
在每个括号前面加上,因为在linux5.0之后，是不能带有括号的，这个时候就需要转译了
5、ls -al 看下，果然还有隐藏文件,通通删除

文章插图

6、去cd /etc/crontab ，删除定时任务，然后top -i,得到如下， cup依然张立在哪里，懵逼

文章插图

7、top -b 多了一个Python ，干啥的不知道，查看删除进程python

文章插图

文章插图

8、最后去查看日志，如下顺着这个日志一步一步走下去，

文章插图

9、cd /etc,下rm -rf ld.so.preload

文章插图

10、cd /usr/local/lib下 rm -rf libjdk.so

文章插图

11、再去cd /etc/crontab ，查看有没有定时任务，有删除， 12、去cd /tmp下,有也统统删除， 13、top -b 居然有3个资源kworkerrds占据cpu 33%,终于找到你，尼玛，还好没放弃，由于当时找到目标，太过激动没截图，因为已经下午5点了，花了大量时间找原因，看日志，查资料， 14、于是果断ps -ef | grep kworkerds ，赤裸裸就是你

文章插图

15、kill -9 pid ， history -c清除记录（下面解释）

文章插图

16,top ,终于下来了，心累呀

文章插图

17、之前花了大量时间查看原因，原来是黑客通过在我日志里面留下了程序，我之前清除了minerd ，然后又通过日志里面的程序进行了一个脚本任务，通过这个脚本获取操作记录，（为什么history -c清除记录），然后再次侵入我的服务器，现在是21:00,心累， 18、对了，还有如下操作，这才完美收官。cd /var/log19、可疑的日志通通删除,