Centos6.8 下解决服务器被挖矿当肉鸡的方法

刚上班发现有些服务跑不起来，进入服务器查看原因：

第一部分：

一，#top

因为是刚被我kill 掉一次，kill 掉等会还会自启动，之前yam 进程占cpu 是200%

二，# vim /etc/rc.local   看下加入开机自启的内容，将它删掉保存。

三，查找yam 进程的位置，修改它的权限。

当修改权限的时候回提示，不让执行这个权限，它是用了提权：chattr

四，然后过滤出他的进程，将其干掉。

 

 

五、 当top时候过滤出wipefs 这个进程的时候：

 1、  find / -name *wipefs*

        chattr -i /bin/wipefs

        chmod 000  /bin/wipefs -R

        chattr +i /bin/wipefs

        chattr -i  /sbin/wipefs

        chmod 000  /sbin/wipefs -R

        chattr +i  /sbin/wipefs

2、删除所有/etc/rc*下的启动项文件

988 rm -fr /etc/rc.d/init.d/wipefs
989 rm -fr /etc/rc.d/rc6.d/S01wipefs
990 rm -fr /etc/rc.d/rc0.d/S01wipefs
991 rm -fr /etc/rc.d/rc2.d/S01wipefs
992 rm -fr /etc/rc.d/rc4.d/S01wipefs
993 rm -fr /etc/rc.d/rc1.d/S01wipefs
994 rm -fr /etc/rc.d/rc3.d/S01wipefs
995 rm -fr /etc/rc.d/rc5.d/S01wipefs

3、[root@kvm01 rc.d]# cat /etc/resolv.conf    将dns改回正确设置

nameserver 208.67.222.222   删除掉

4、检查/etc/crontab文件，清除wipefs相关定时任务

5、vipw命令检查/etc/passwd文件，如发现类似"myadmin:x:0:0::/home/myadmin:/sbin/nologin"的超级权限用户，删除该行，保存。

 6、vipw -s命令检查/etc/shadow文件，删除第5条中对应的用户行，wq!强制保存

 

第二部分：

如果在进行了第一部分所有的操作以及iptabeles 分别作了限制

#-A POSTROUTING  -s 192.168.0.26/32 -j SNAT --to-source  xxxxxxxxxx

还是不行，

唯一的办法是可以重新做虚拟机并且依次将服务做好迁移。

删除虚拟机之间做的互信 位于 .ssh/authorized_keys

更换复杂密码

 

第三部分：

加上硬件防火墙，阻挡恶意挖矿程序的植入。