码迷,mamicode.com
首页 > 其他好文 > 详细

记一次服务器被抓去挖矿事件

时间:2018-07-11 17:59:45      阅读:195      评论:0      收藏:0      [点我收藏+]

标签:判断   筛选   pre   linux服务   手动   xxxx   密码强度   情况   弱密码   

某天,一台服务器cpu占用高达96%,

好吧,这种情况当然要看看是哪个进程占用的了,
top查看进程发现是一个 ls_linux 的进程高居榜首,但是自己知道该服务器上没运行过此种服务的,
所以断定可能是被抓去挖矿了,试着kill干掉这个进程,
果然,没那么简单,一会儿的工夫就又出现了此进程。
在系统中再 ps aux 查看进程时,又发现一堆的[xxxxx]进程,而且显示用户是test,
这个用户的密码过于简单,可能是被暴力破解了。
ps aux | grep test
一执行,出现了4000+个[xxxxx]的进程!
手动kill是不可能了,就赶紧写了脚本,杀死test下所有的进程,并且把test用户的密码修改成复杂密码,
继续 kill 掉主要的进程ld_linux ,cpu一下就降下来了。
观察一段时间后,发现cpu运行稳定,算是解决了一次病毒事件吧。

总结:
1.用户的弱密码是个硬伤,尽量加强密码强度,linux服务器本身的权限机制就比较安全,
所以密码一定要保护好;
2.在处理过程中,杀死进程时的进程号以 ps aux 命令中的为准,top能看到进程运行情况,
但还有可能一些不占用cpu的进程存在,top是显示不出来的。需要用 ps aux 来筛选;

3.熟悉自己的服务器,清楚上面运行的服务,这样一旦出现不熟悉的进程就能判断出来;

4.多用 ps aux 查看可疑进程,再 find 搜索进程文件,将顺藤摸瓜,将进程文件的干掉,或者使文件失效;

记一次服务器被抓去挖矿事件

标签:判断   筛选   pre   linux服务   手动   xxxx   密码强度   情况   弱密码   

原文地址:http://blog.51cto.com/13577495/2140517

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!