当前位置: 旋风说(旋风PHPer分享网)> 技术文章> 正文
服务器被挖矿进程植入后,我的解决方法:
1.top命令,查看占用cpu找过100%的进程.
2.找到这个进程的进程id,此时不要kill,因为杀不死,先找到这个进程所在的位置,方法如下: ls -l /proc/进程ID/exe
3.此刻我们知道这个进程所在位置了,比如是/tmp/mysqldd 看出来了么,和mysqld很像,这是伪装的,继续探究这个文件在哪里
4.find / -name *mysqldd* 找到他的路径,此刻就不慌了
5.找到对应位置,删除即可.虽然上述步骤4中得到地址不能直接rm -rf 但是可以cd 配合tab键,挖到它藏身的最底层,然后在删除所在的整个进程文件夹
补充:值得注意的是,这些进程伪装的都很隐秘,名字也很奇葩,比如:mysqld\aliyunDun\httpdd等,正常进程都不会占到太多cpu,更别说100%甚至200%了,而且这些进程都有守护进程,单纯的kill是杀不死的,因为都很机智的隐藏到系统程序模块里面.
阿里云官网介绍:
被隐藏的恶意模块一般有:raid.ko、iptable_mac.ko、snd_pcs.ko、usb_pcs.ko和ipv6_kac.ko。您可以使用 file /lib/udev/usb_control/恶意模块名,分别检查是否存在以上模块。找到了立马清除杀死它就行了.
当您发现内容错误或代码bug,以及下载链接无法使用等,请点击屏幕右下角的上报错误来进行提交,我们会尽快修正。
本程序所有源码和工具完全免费,当本网站内容如果侵犯了您的权益,请联系我们,我们会尽快处理,感谢您的合作。
相关文章
评论:
文明上网理性发言,请遵守 新闻评论服务协议
雨寒
2021-08-21 09:27:43
(0) 回复