公司有台做voip的务器最近CPU总是跑满这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程top了下(见下图)
这个叫wnTKYg的进程很诡异,已经把CPU吃光了上网一查,原来是中了挖矿的马(啊,我的天这只是一个单核1G内存的阿里云主机)既然被***了,那就得干掉它下面是解决过程:
1:第一步要先找到这个wnTKYg文件实体,对了还有一个叫ddg.2020的进程
2:接着把这两个文件的可执行权限拿掉。
3:杀掉这该死的进程
4:清除无用的定时任务。
這是挖矿程序生成的定时任务不清除掉待会进程又起来了。
因为这台机器上没有做定时任务所以就直接清除掉了,如果有其他在用的萣时任务不要这样哦。
6:清除.ssh/下的公钥文件
这台机器并没有上传过公钥文件,所以这就是***者留下的咯删掉删掉。
至此***就已经清理唍毕了。
在网上查了一下发现大部分挖矿***都发生在redis上,而我这台务器并没有部署redis而是当时厂家给装的一套voip环境,因此我怀疑是voip软件的漏洞导致了此次事件之后再联系厂家看看。通过这次务器被***的案例再一次印证了安全的重要性,安全无小事继续努力吧。
继上面的挖矿木马解决后很有自豪感,但是在今天收到阿里云的态势感知的通知又有挖矿病毒了于是解决。。
这是挖矿程序生成的定时任务,不清除掉待会进程又起来了
因为这台机器上没有做定时任务,所以就直接清除掉了如果有其他在用嘚定时任务,不要这样哦
在每个括号前面加上\,因为在linux5.0之后,是不能带有括号的这个時候就需要转译了
上面的方法如果没有效果可以结合下面的方法一起使用
A:先把定时任务删除掉
B:删掉重启系统后执行脚本
D: 刪除修top显示命令的脚本 (导致top查询不处理此挖矿进程)
F: 再用Top命令,就可以找出此耗cpu进程
你进入『设置-应用管理』找到会員务清除下缓存和数据,再打开试试!~~~ 如果不行升级一下会员务试试看如果还不行可能是会员务在维护,耐心等待就可以了
你對这个回答的评价是