問題發現:
國慶放假期間公司一臺阿里雲服務器發現無法正常登陸,報錯信息提示22端口未開放。且服務器提供的jenkins服務是正常可以使用的,部分功能缺失,於是登陸阿里雲控制檯使用遠程終端管理登陸服務器,發現輸入對的用戶名及登陸口令無法登錄進系統,而且一直提示讓重複登錄,無法正常登陸進系統內部,很是困惑,第一次遇到這種奇葩的問題,有種束手無策的感覺。
問題解決經過:
開始聯繫了阿里雲的系統工程師申請技術支持,因目前系統處於無法登錄狀態,所以將服務器的登錄口令及遠程密碼授權給了阿里雲的工程師,下面是
與阿里工程師的問題結果過程。
阿里雲工程師嘗試掛載光盤嘗試修復系統,發現缺失好多系統命令,有大量的可執行文件被刪除,無法通過修復的方式來恢復系統,最後建議給磁盤做快照,重置系統
目前也只有這種辦法了,重置操作系統終於可以登錄到系統了,然後就開始將之前快照硬盤上的jenkins服務恢復,服務恢復後也可以登錄到jenkins平臺,且可以正常使用,
以爲萬事大吉了,這下解決問題了,當時還是有個疑問,服務器之前都是很正常的,爲什麼突然就癱了呢,百思不得其解。就目前情況一切是比較正常的,先這麼着吧。
第二天上班後因爲項目需要迭代升級,又要用得到這個服務,再發布更新系統時,一切都是正常的,可是通過xshell遠程去登錄服務器又出現了之前同樣的問題,提示端口
號22端口未啓用,登錄阿里雲遠程終端管理又和之前的問題一模一樣,服務可以用,系統登錄不了,重啓後依舊無法登錄,而且無限讓重複登錄也沒有任何報錯。於是又聯繫了
阿里雲的工程希望能幫助我們解決問題,
起初他們懷疑重置系統後,是我做了些個人操作導致,我的操作很簡單啊,只是將原來備份jenkins服務文件遷移回去,並配置環境變量,再之後java -jar jenkins.war啓動服務
很簡單的幾步,不可能去刪一些文件。後來阿里雲給的建議還是重置磁盤。問題還是沒有解決,並且之後又重置過好多次,依舊還是之前的問題。
注:因爲這臺服務上面只有jenkins應用只要將jenkins服務的文件備份到其他主機就可以避免重複購買阿里雲的快照,雖然花不了多少錢,但是流程很麻煩,同樣可以實現恢復。☺
問題解決:
最後發現,每當我將jenkins服務啓動起來阿里雲的服務器CPU就會瞬間跑滿,而且維持一段時間以後CPU又正常了,感覺應該是在執行什麼程序。後來發現確實是有一個異常
進程在執行。
利用系統命令查看都正在有兩個bash進程在執行什麼任務,經確認第二個爲阿里雲系統自帶的一個系統程序用於查看服務器的一些基本狀態及使用情況,
上面那個就不太清楚了由此可見是一段無規律的亂碼。且用base64的加密算法進行加密最後利用bash執行
利用base64解碼的方法,解碼後發現一個問題,其中果然有貓膩,服務器在一個網址下載腳本並執行,執行的內容爲圖2
終於知道爲什麼好多系統命令爲什麼會消失了,就是因爲執行這個腳本之後才發生的,並且在這時還有多個異常程序也在執行如下圖:
看上去也是base64加密後的可執行程序,解碼以後果然是一個腳本。這個腳本應該是個挖礦的腳本。對於之前發現系統無法登錄的這個
問題應該不是這個腳本導致,是由第一個腳本導致的。
在網上看了好多資料,終於知道問題的原因了,導致發生服務有惡意可執行文件的原因是由jenkins服務的漏洞導致,且jenkins第三方插件中有攜帶有惡意的可執行文件
,也就是說只要你啓動jenkins服務就會執行相應的一些腳本,再之後用不了多久服務器就癱了。
最後的解決方法就是將jenkins升級爲最新版本,並且安裝更新jenkins相關補丁及插件,再將先前備份的jenkins配置文件及相關文件替換新的jenkins目錄下的一些文件即可。
本人VX:①③③①①②④⑥0③0 有疑問可以隨時和我聯繫,特別願意與您分享,相互學習。