点击这里给我发消息QQ客服

云服务器linux系统如何排查处理挖矿程序

云之渝 2020-05-13


为了获得最大利益,挖掘程序将存储大量持久后门,从而导致病毒无法杀死或难以清除。


我们可以通过如下步骤进行故障排除和处理:


1. 查看挖掘过程的执行文件链接。


ls -l /proc/xxx/exe           // xxx表示该进程的PID。

2. 清除挖掘进程的执行文件。


3. 在高CPU消耗的过程中,找到挖掘进程并终止该进程。


4. 检查服务器的防火墙中是否有采矿池地址。


        a. 运行以下命令,检查业务范围之外是否存在可疑的通信地址和开放的端口。


         iptables -L -n


1.png

        b. 运行以下命令清除恶意采矿池地址。


         vi /etc/sysconfig/iptables


5. 执行以下命令排查和处理定时任务,以防止二次入侵。


crontab -l


2.png


6. 执行以下命令,检查SSH公钥中是否存在挖掘病毒,以防止连续的后门攻击。


        cat .ssh/authorized_keys


3.png


7. 检查其他服务器中是否存在挖掘行为,以防止挖掘病毒反复感染Intranet中的其他服务器。