记一次挖矿处理

处理挖矿的几个简单思路

1。先把定时任务清了

2。定位到病毒文件，删除

3。netstat -tunlpa中，把异常连接的公网ip段封了

4。把netstat -tunlpa中连接异常的进程删了

5.修改ssh端口 密码 安全组中不用的端口

 

 

刚开始发现服务器网站连接老是中断，以为是网络原因，经过在服务器排查，to'p发现cpu存在两个进程cpu占用高，如果是偶尔跳一下cpu高正常，一直就是存在问题了。

 

1  把定时任务清了。

 

把这下面的不是自己的定时任务

cd /var/spool/cron/

crontab -e 也看一下。

2  根据进程号  例如   第一排的进程号为170974

 

（干掉相关用户的进程sudo pgrep -u test | xargs kill -9）

ll /proc/170974  |grep exe

定位到目标文件  ，查看是否可疑，直接rm -rf干掉。

3   我服务器连接都是国内的IP 通过IP地址查询工具  对照看netstat -tunlpa下的国外ip

直接把ip段给他全部封了，禁止连接我所有服务  我的是centos8的服务器，通过iptables封的

 

iptables -I INPUT -s 185.165.162.0/24 -j DROP  #禁止185.165.162.0段的ip连接我所有服务

 

service iptables save   #需要保存，不然重启就没了

 

4   把刚刚封了的那些ip所对应的进程号一个个干掉。

kill -9 进程号

还有个事就是我kill 的时候才发现还有个巴基斯坦的ip  ssh我服务器，密码也估计被爆破了。

5  善后  改密码 改端口 把安全组中不用的端口尽量就封了（服务器做了内网穿透玩，方便我弄一些东西，开的端口比较多）