解决阿里云服务器提示挖矿程序风险

 

　　　　今天大早上收到阿里云邮件通知，提示有挖矿程序。一个激灵爬起来，折腾了一早上，终于解决问题了。

　　其实前两天就一直收到阿里云的通知，检测到对外攻击，阻断了对其余服务器637九、 6380和22端口的访问，当时没怎么当一回儿事，反正是我用来本身学习用的，就放着无论了，结果今天事态就大了。那就来解决吧。

　　首先xshell链接服务器，这时候输入命令时明显感受巨卡。

　　确定是cpu被占满了，输入 top -c 命令查看有个进程叫 kworkerds。占用了将近100%的CPU。

　　

 

　　这 kworkerds 是个啥？？做为小白的我一脸懵逼。不要紧，有问题找百度。

　　而后就知道了，kworkerds是个挖矿程序，通常是经过redis的漏洞被植入的。网上也搜到了不少解决办法，结合着这些方法，我开始了本身的操做：

　　一、首先 kill 掉这个进程，先让CPU降下来再说。输入个命令都得卡半天，不能忍。

　　二、cd到 /tmp/ 和 /var/tmp/ 目录下，把带有kworkerds的文件删除。

　　　　一边删除着发现输入命令的时候又开始变卡了。查看进程，果不其然又有个kworkerds进程，果断kill掉。

　　　　解决问题过程当中这个进程总会反复重启，我就又开了一个shell，时刻监视着进程，一旦感受输入变卡了，就先去kill掉这个进程

　　　　回到 /tmp/ 和 /var/tmp/ 目录下，发现删掉的文件又自动生成了。嗯……接着折腾

　　三、网上搜到会和crontab有关。好嘞，咱看看crontab有啥，删掉不就行了。而后：

　　　　

　　　　嗯………………………………必定是我打开的方式不对。

　　四、找了半天缘由，最后回到进程里查看，啊，原来是这样

　　　　

　　　　是www-data这个网站用户被黑了。好吧，放下手上的活，重置个密码先。

　　五、输入 crontab -l -u www-data ,以下：

　　　　

　　　　木马时时刻刻都在请求这个服务器下的一个mr.sh 脚本。脚本下载下来，打开看了下。

　　　　做为一个小白，虽然不大明白其中意思。但跟网上搜到的差很少，就是这个脚本不断地在生成 kworkerds文件。

　　六、把crontab关掉，个人www-data用户没有其余的定时任务，因此我直接执行了 crontab -r -u www-data

　　　　重复一、 2 步骤，该删的一个不留。

　　　　须要注意的是，/tmp/ 和 /var/tmp/ 目录下，全部者是 www-data 的文件均可能有问题。

　　　　除了本身能肯定没问题的，其余都删掉。不要只删除 kworkerds 文件。

　　　　而后就惊喜的发现—— 删掉的文件又回来了，kill掉的进程又重启了。WTF！！

　　七、从新理一遍头绪。回想起了，这个病毒极可能是经过redis来攻击的。

　　　　好，那就先把redis关掉吧。而后再重复 六、 一、 2 步骤。

　　　　而后…… 问题终于解决了！

　　

　　到我写这篇文章时，没有再出现这个问题。

　　我想以后我应该会从新装一遍redis，而后好好学一学管理redis的知识，让服务器更安全，防止再次被攻击吧。