标签：删除 记录 攻击 程序 cat etc 阿里 定时 挖矿

太伤心了，我的测试服务器居然被挖矿程序攻击了 

贫穷的我哪有什么矿？？挖矿程序，我恨

你不仅掏空了我的钱包，也薅光了我的头发（呜呜呜......

言归正传，我要记录一下清除挖矿程序的过程

1. 找到挖矿进程

top查看cpu使用情况

一开始倒没啥异常，等待片刻就发现有个奇怪的1196进程悄咪咪地占用大量CPU资源

于是我 pkill 1196 杀死对应进程

2. 删除挖矿程序

find 找到进程对应文件夹，rm -rf xxx删除

3. 彻底删除定时程序

这玩意儿会自动重启，因为有定时任务

crontab -l 查看定时任务

crontab -r 删除定时任务

4. 检查用户列表，.ssh文件，开机启动

cat /etc/passwd 检查是否有未知用户

cat ~/.ssh/authrized_keys 检查是否对未知用户授权

cat known_hosts 检查是否有未知的用host

/etc/rc.local /etc/rc.sysinit /etc/inittab /etc/profile

检查一下这些开机启动的系统配置目录下面有木有挖矿程序的脚本

标签：删除,记录,攻击,程序,cat,etc,阿里,定时,挖矿
来源： https://blog.csdn.net/Xinyue_Lu/article/details/117901112

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。