【记录一次服务器被黑的经历】
记录一次服务器被黑的经历
一.事情背景
事情背景是这样的:早上云服务器疯狂给我发消息,告诉我服务器有恶意文件。之后登录上去一看,发现服务器被人挖矿了。
使用top命令进行查看:发现cpu占满了(我的是4核的,这里发现4个核几乎都沾满了)。
二.先看结果
1. 发现这个文件是ll这个用户(的,之后就去查看服务器的根目录,发现多了一个目录tmp.
2.发现这个目录中有一些文件,其中就包括ll这个用户和它破解掉的密码。
3. 查询最近这个账号登录的ip地址,发现一个异常的ip地址。来自于新加坡,确定被黑无疑。
三.解决办法
解决思路:先干掉这个程序,之后删除这个脚本,删除定时任务。
1.第一步先kill掉这个任务。删除tmp这个目录以及源程序。
2.删除定时任务及文件
杀掉之后发现服务器过一段时间之后会进行重新启动这个挖矿软件。我们进行使用crontab-l查看当前用户的定时任务。(一般情况使用crontab -l是看不到的挖矿的程序,需要查看/etc/crontab)
这里使用crontab -l发现了定时任务和程序脚本的位置,先把定时任务进行删除,之后分别把这个脚本进行删除。
四。后续
之后没有发现cpu资源占用过高,问题是初步解决了。
注意事项:不要使用弱密码,很容易被攻破!