Centos6.8 下解决服务器被挖矿当肉鸡的方法

刚上班发现有些服务跑不起来,进入服务器查看原因:

第一部分:

一,#top

因为是刚被我kill 掉一次,kill 掉等会还会自启动,之前yam 进程占cpu 是200%

二,# vim /etc/rc.local   看下加入开机自启的内容,将它删掉保存。

三,查找yam 进程的位置,修改它的权限。

当修改权限的时候回提示,不让执行这个权限,它是用了提权:chattr

四,然后过滤出他的进程,将其干掉。

 

 

五、 当top时候过滤出wipefs 这个进程的时候:

 1、  find / -name *wipefs*

        chattr -i /bin/wipefs

        chmod 000  /bin/wipefs -R

        chattr +i /bin/wipefs

        chattr -i  /sbin/wipefs

        chmod 000  /sbin/wipefs -R

        chattr +i  /sbin/wipefs

2、删除所有/etc/rc*下的启动项文件

988 rm -fr /etc/rc.d/init.d/wipefs
989 rm -fr /etc/rc.d/rc6.d/S01wipefs
990 rm -fr /etc/rc.d/rc0.d/S01wipefs
991 rm -fr /etc/rc.d/rc2.d/S01wipefs
992 rm -fr /etc/rc.d/rc4.d/S01wipefs
993 rm -fr /etc/rc.d/rc1.d/S01wipefs
994 rm -fr /etc/rc.d/rc3.d/S01wipefs
995 rm -fr /etc/rc.d/rc5.d/S01wipefs

3、[root@kvm01 rc.d]# cat /etc/resolv.conf    将dns改回正确设置

nameserver 208.67.222.222   删除掉

4、检查/etc/crontab文件,清除wipefs相关定时任务

5、vipw命令检查/etc/passwd文件,如发现类似"myadmin:x:0:0::/home/myadmin:/sbin/nologin"的超级权限用户,删除该行,保存。

 6、vipw -s命令检查/etc/shadow文件,删除第5条中对应的用户行,wq!强制保存

 

第二部分:

如果在进行了第一部分所有的操作以及iptabeles 分别作了限制

#-A POSTROUTING  -s 192.168.0.26/32 -j SNAT --to-source  xxxxxxxxxx

还是不行,

唯一的办法是可以重新做虚拟机并且依次将服务做好迁移。

删除虚拟机之间做的互信 位于 .ssh/authorized_keys

更换复杂密码

 

第三部分:

加上硬件防火墙,阻挡恶意挖矿程序的植入。

 

posted @ 2018-03-19 12:54  lixinliang  阅读(518)  评论(0编辑  收藏  举报