每日一博 | 我的服务器接连被黑客攻击,我好难

最近在几台测试服务器上跑一些业务数据,但是过了几天服务器突然变的奇慢无比,敲个命令就像卡壳一样,有时候甚至都连接不上,最开始我以为是网络问题,就强行kill掉进程,重新跑一下进程,最后实在受不了,就上阿里云后台说重启下服务器吧,结果看到CPU的占用率已经到达了100%。

这是CPU是恢复正常之后截图

看到这样我以为是因为我跑了大量的数据导致CPU飙升的,然后我就kill到了进程,并且重启了服务器,启动之后CPU正常,我以为就是我跑数据导致的,此后我就没用这台服务器跑数据了,我就单纯的以为这就算处理好了,没想到等我过几天部署测试包的时候发现,又是奇慢无比,看了下CPU占用率又是99.9%,事实证明我还是太年轻了。

终于忍无可忍,就深究下吧,先用linux命令(top)查看下,到底是什么占用了这么多CPU资源,结果如下图:

看到的瞬间第一感觉就是,这是啥玩意,这是谁部署的。问了下平时身旁的背锅侠,好像也不是他弄的,看来这次这锅是甩不了了,那就只能...

「What?中病毒了?」

根据过往的经验,这玩意不应该是点了网页上的小姐姐才会发生的事情吗?我这为什么也就中毒了。

这东西是啥

既然已经中毒了,那就来看看这是什么东西吧。

挖矿病毒,大家身在同一个工地都应该或多或少都听过挖矿吧,要是挖到个币,就不用苦逼写文章了,话说回来,要想挖币需要很强的计算资源,那么也就需要众多的服务器来支撑,这里面有些逼呢又不想投入太多,只能通过一些恶毒的手段,将脚本植入的我们的服务器,比如我们需要安装一个Redis,那么像我英文不太好的人,可能第一时间不是去官网,而是找度娘,如果你正好找的资源里面被人植入了这种东西,那么很不凑巧,你的服务器可能要帮别人搞点东西了。

如何处理这种病毒

既然中了这种病毒,导致我们的服务器很卡,那么肯定要将它杀死,可能没怎么接触过Linux的同学,已经考虑重装镜像了。

其实大可不必。

首先呢我们找到此进程将其kill掉。

接下来删除kdevtmpfsi文件,一般在tmp目录下

还有一个文件(kinsing)我们也要将其杀死删掉

这里需要注意,我试了几台服务器kinsing文件可能存在不同的位置,但是我们可以通过上面的方式看到文件路径,将其找到删除就好。

这个时候我们通过top查看CPU的使用率,可以发现已经正常了


就在我以为万事大吉的时候,现实又给了我沉痛的一击,没过几分钟CPU使用率又到了99.96%,我要崩溃了。

跟度娘经过深入交流之后,终于知道了问题所在。

查看服务器的定时任务,crontab -l,大概会看到如下的任务,没有就不用管了,你可以将此ip查一下,一般都是国外的ip。

我们将这些定时任务删除即可,这个链接就是在我们kill到进程、删除文件之后进行下载,然后通过脚本再跑起来。

这也就是为什么我明明杀死了病毒,没过多久又出现了的原因。

到这里我们已经完全处理到此病毒了,如果你用的是阿里云ECS,当遇到这种东西的时候,其实会短信通知你,只不过当时太年轻没怎么在意,另外服务器端口默认是22,自己最好改个端口,不然很容易被恶人攻击。

现在服务器敲起来贼爽,再也不卡顿了。

日拱一卒,功不唐捐

今日推荐
导致MySQL索引失效的几种常见写法



这里给大家推荐一个在线软件复杂项交易平台:米鼠网 https://www.misuland.com

米鼠网自成立以来一直专注于从事软件项目人才招聘软件商城等,始终秉承“专业的服务,易用的产品”的经营理念,以“提供高品质的服务、满足客户的需求、携手共创双赢”为企业目标,为中国境内企业提供国际化、专业化、个性化、的软件项目解决方案,我司拥有一流的项目经理团队,具备过硬的软件项目设计和实施能力,为全国不同行业客户提供优质的产品和服务,得到了客户的广泛赞誉。

最新项目