今天大早上收到阿里云邮件通知,提示有挖矿程序。一个激灵爬起来,折腾了一早上,终于解决问题了。

  其实前两天就一直收到阿里云的通知,检测到对外攻击,阻断了对其他服务器6379、 6380和22端口的访问,当时没怎么当一回儿事,反正是我用来自己学习用的,就放着不管了,结果今天事态就大了。那就来解决吧。

  首先xshell连接服务器,这时候输入命令时明显感觉巨卡。

  肯定是cpu被占满了,输入 top -c 命令查看有个进程叫 kworkerds。占用了将近100%的CPU。

  

 

  这 kworkerds 是个啥??作为小白的我一脸懵逼。没关系,有问题找百度。

  然后就知道了,kworkerds是个挖矿程序,一般是通过redis的漏洞被植入的。网上也搜到了很多解决办法,结合着这些方法,我开始了自己的操作:

  1、首先 kill 掉这个进程,先让CPU降下来再说。输入个命令都得卡半天,不能忍。

  2、cd到 /tmp/ 和 /var/tmp/ 目录下,把带有kworkerds的文件删除。

    一边删除着发现输入命令的时候又开始变卡了。查看进程,果不其然又有个kworkerds进程,果断kill掉。

    解决问题过程中这个进程总会反复重启,我就又开了一个shell,时刻监视着进程,一旦感觉输入变卡了,就先去kill掉这个进程

    回到 /tmp/ 和 /var/tmp/ 目录下,发现删掉的文件又自动生成了。嗯……接着折腾

  3、网上搜到会和crontab有关。好嘞,咱看看crontab有啥,删掉不就好了。然后:

    

    嗯………………………………一定是我打开的方式不对。

  4、找了半天原因,最后回到进程里查看,啊,原来是这样

    

    是www-data这个网站用户被黑了。好吧,放下手上的活,重置个密码先。

  5、输入 crontab -l -u www-data ,如下:

    

    木马时时刻刻都在请求这个服务器下的一个mr.sh 脚本。脚本下载下来,打开看了下。

    作为一个小白,虽然不大明白其中意思。但跟网上搜到的差不多,就是这个脚本不断地在生成 kworkerds文件。

  6、把crontab关掉,我的www-data用户没有其他的定时任务,所以我直接执行了 crontab -r -u www-data

    重复1、 2 步骤,该删的一个不留。

    需要注意的是,/tmp/ 和 /var/tmp/ 目录下,所有者是 www-data 的文件都可能有问题。

    除了自己能确定没问题的,其他都删掉。不要只删除 kworkerds 文件。

    然后就惊喜的发现—— 删掉的文件又回来了,kill掉的进程又重启了。WTF!!

  7、重新理一遍头绪。回想起了,这个病毒很可能是通过redis来攻击的。

    好,那就先把redis关掉吧。然后再重复 6、 1、 2 步骤。

    然后…… 问题终于解决了!

  

  到我写这篇文章时,没有再出现这个问题。

  我想之后我应该会重新装一遍redis,然后好好学一学管理redis的知识,让服务器更安全,防止再次被攻击吧。

 

  

 

版权声明:本文为gxnwang原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/gxnwang/p/10123199.html