記一次阿里雲服務器被感染挖礦病毒ZIGW處理
-
背景:有一天忽然發現阿里雲部署的網站一打開本地cpu就跑滿,然後到阿里雲網站查看說是有感染zigw挖礦病毒。然後登陸阿里雲服務器,用top命令查看看到cpu使用率有一個程序是使用率到了300%,然後一查說是有個挖礦病毒,按照網上的方法解決了,把linux服務器中的病毒刪掉了。但是網站打開還是cpu佔有率很高。下面附解決方法。
-
參考資料:https://blog.csdn.net/sayWhat_sayHello/article/details/83988443
按照上面網址中的辦法就可以吧linux服務器中的病毒殺掉了,但是如果你網站也被感染的話,還需要下面操作。 -
原因:根據查詢被挖礦感染的原因是我服務器中使用了redis,我把redis配置文件設置成可以外網訪問。就是我可以用RedisDesktopManager這個redis可視化工具連接到,也就是這個爲挖礦的留下了漏洞。
redis安裝配置資料:https://www.cnblogs.com/renzhicai/p/7773080.html
http://www.cnblogs.com/dami-xiaomi/p/9242405.html
照着上面倆個連接就可以安裝redis並配置好了。
上述配置存在問題:其中有個配置文件中要修改#127.0.0.1這個位置,
修改redis.conf文件中的幾個配置項
將bind 127.0.0.1改爲#bind 127.0.0.1(即註釋掉)這個位置,是爲了遠程可以訪問reidis的功能。但是這樣處理就爲挖礦程序留下漏洞。所以自己試的時候可以註釋掉,但是生產環境時候還是隻能本地訪問比較好。我後面解決遠程訪問就是修改的這裏。改爲只能本地訪問。 -
按上面的步驟改完以後服務器本地是沒什麼問題了,但是之前部署的網站打開cpu佔用還是基本滿的。按照網上說法是挖礦程序感染了網站的js文件,既然感染了,那我把網站文件刪掉衝新打包部署後就可以了。
上圖是chrome瀏覽器打開被感染網站F12以後看到的。畫紅框的都是js注入的內容,在本地起了8個線程,一直在使用本地資源挖礦,然後指向了右邊那個站點,我ping了一下是臺灣高雄的站點。
這種情況就需要重新打包部署網站。完了以後就沒問題了。
如有幫助請支持:(▽)