记录一次腾讯云服务器进挖矿病毒的事故
1.排查问题
下午登录服务器,发现用了十几秒才进入,使用top命令想看看是什么程序占用内存,找到了罪魁祸首。
2.解决问题
2.1定位病毒
1.使用top命令得出进程号(PID)
2.使用命令ls -l proc/{进程号}/exe得出文件位置
2.2清除病毒
1.使用 rm 命令直接删除,会发现提示无法删除,应该是使用了chattr命令将文件锁定了
使用命令: chattr -i {文件名} ,然后使用rm -rf {文件夹}即可正常删除。
2.使用ls命令你会发现还有其他程序,同理删除networkservice、sysguard、update.sh、config.json。
3.检查是否还有免密登录的后门文件 /root/.ssh/authorized_keys 也一并删除。
4.检查定时任务 crontab -l 将可疑任务清除。
5.使用kill -9 {进程号}杀掉正在运行的病毒程序。
最后将服务器重启,检查是否还有异常
