定期监控是否存在之前的挖矿程序,并完成清理
说明
在阿里云服务器上发现挖矿程序,大概率是因为在安全组上开启了某些端口导致。黑客利用某些端口的漏洞,上传了挖矿程序,并设置了定时任务。
对于在一个安全组内的服务器,网络内部是互通的。如果发现某些服务出现:Connection refused(连接拒绝)这样的报错,可以开启防火墙,然后开通拒绝的端口即可。
(1)编写一个脚本
vi clean_host.sh
#!/bin/bash pid_cpu=`ps aux|grep -v PID|sort -nr -k3|head -n1 | awk '{print $2,$3,$11}'` pid=`echo $pid_cpu |awk '{print $1}'` cpu=`echo $pid_cpu |awk '{print $2}'` cmd=`echo $pid_cpu |awk '{print $3}'` if [ `echo "$cpu >= 40" | bc` -eq 1 ];then echo "PID CPU(%) Mem(%) CMD" echo $pid_cpu if [[ $cmd =~ "sendmail" ]];then crontab -u hadoop -r rm -rf /var/tmp/.22 kill -9 $pid fi else echo "cpu is normal." fi
(2)设置定时任务
crontab -e
* * * * * /root/clean_host.sh >/dev/null 2>&1
本文来自博客园,作者:业余砖家,转载请注明原文链接:https://www.cnblogs.com/yeyuzhuanjia/p/17975022