linux 服务器发现了挖矿病毒

1.发现病毒

近日，由于本身搭建的我的网站作了一版更新，准备去服务器作部署。链接服务器的时候明显感受到消耗的时间比以往要久，半天才响应过来。

在测试网络没有问题以后，随即便用top命令看下进程状况，结果以下图所示

 

整齐划一的进程，且本身没有作过这样的部署。发现不对劲，因而立刻使用kill命令干掉这些进程。神奇的事情发生了，这些进程就像不倒翁同样，几个kill命令过去它们又从新站了起来。

2.解决问题

因而当即将问题反映给了百度，得出结论，这是一个挖矿病毒 sysupdate

2.1定位病毒

1.使用top命令得出进程号（PID）

2.使用命令ls -l proc/{进程号}/exe得出文件位置

2.2清除病毒

1.使用 rm 命令直接删除，会发现提示没法删除，应该是使用了chattr命令将文件锁定了

使用命令： chattr -i {文件名}  便可正常删除

2.在/etc/目录下还发现一个守护进程文件  /etc/update.sh 也一并删除了

3.检查是否还有免密登陆的后门文件   /root/.ssh/authorized_keys 也一并删除

4.检查定时任务  crontab -l 将可疑任务清除

最后将服务器重启，检查是否还有异常

3.总结

这次挖矿病毒事件多是因为redis服务未设置密码致使的，因为redis尚未正式投入到业务中，因此产生了这种疏忽。

这大概就是细节决定成败了。

安全无小事，但愿你们都能避免此类问题的发生，发生也可以无缺的解决。

本文转载自我的网站ushowtime  https://www.ushowtime.cn