记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

记一次阿里云服务器被中病毒处理过程

2020-12-18 10:33

记一次阿里云服务器被中病毒处理过程


早上醒来看到阿里云的紧急通知短信,就马上进入app看下

1、起床之后,买了早饭没吃,先打开电脑,使用top查看服务器的运行状态,发现异常进程

根据进程名查询执行:

 ps -ef|grep xr


病毒执行命令: 执行的是一个xr文件,后面跟的是各个参数

./xr -o lplp.ackng.com:444 --opencl --donate-level=1 --nicehash -B --http-host=0.0.0.0 --http-port=65529

访问这个网站,无法访问,lplp.ackng.com:444

继续找执行文件:

find / -name xr


查看该文件,4.3M

du ./* -sh 


进入我的非root用户,检查定时任务

进入root用户检查定时任务



根据个人理解,这个病毒显示是我的非root用户的,但是执行进程用户是root,在root和非root用户里都没有发现定时任务,

目前的解决办法:删除可执行文件,杀死进程

注意

定时任务还有其他的方式,此处我为了偷懒,只检查了crontab 的,如果之后还会出现,那么我会更加仔细的检查

先强制杀死进程

 kill -9 17943

删除进程之后,服务器运行正常

删除病毒文件

rm -rf xr



最后,修改服务器的安全组规则,我是因为懒,设置的0.0.0.0...............................................

等待观察,看之后是否还会出现

总结:

第一眼看到我服务器中了病毒,没有丝丝慌张,甚至有点小兴奋,因为是测试服务器,目前我就部署了Mysql,redis以及我的个人博客应用,如果是我解决不了的病毒或者找我要btc,那我会毫不犹豫选择重装系统玩玩

现在服务器中病毒已经很常见了,个人服务器影响不大,要是公司重要项目影响就大了,建议平时还是别偷懒吧,病毒无处不在,不得不防

最后:

个人只是一个开发,非运维大佬,对linux了解甚微,文中不对处,请来喷我啊 哈哈哈哈



不出我所预料,以上操作,只是删除了而已,过了一会,病毒再次运行,那么百分之百在其他的定时任务里藏了命令,毕竟删除了就没有了,这太简单了


这种情况,第一步就是检查定时任务,删除了又有了,这种没啥神奇的,就是定时任务


cat /etc/crontab

目测这就是病毒的真面目了

删除定时任务,删除脚本,坐等打脸,再次出现



知识来源: www.safebase.cn/article-261998-1.html

阅读:10491 | 评论:0 | 标签:网络学院 病毒

想收藏或者和大家分享这篇好文章→复制链接地址

“记一次阿里云服务器被中病毒处理过程”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云