记录一次腾讯云服务器进挖矿病毒的事故

 

1.排查问题

下午登录服务器，发现用了十几秒才进入，使用top命令想看看是什么程序占用内存，找到了罪魁祸首。

 

 

2.解决问题

2.1定位病毒

1.使用top命令得出进程号（PID）

2.使用命令ls -l proc/{进程号}/exe得出文件位置

2.2清除病毒

1.使用 rm 命令直接删除，会发现提示无法删除，应该是使用了chattr命令将文件锁定了

使用命令： chattr -i {文件名}  ，然后使用rm -rf {文件夹}即可正常删除。

2.使用ls命令你会发现还有其他程序，同理删除networkservice、sysguard、update.sh、config.json。

3.检查是否还有免密登录的后门文件   /root/.ssh/authorized_keys 也一并删除。

4.检查定时任务  crontab -l 将可疑任务清除。

5.使用kill -9 {进程号}杀掉正在运行的病毒程序。

最后将服务器重启，检查是否还有异常

关于此病毒原理：https://cloud.tencent.com/developer/article/1461835