挖矿进程攻击的解决

背景

    由于项目需要更新,所以就把项目重新打了个包放到服务器上跑,结果每次跑成功后都会在几秒后被杀掉.检测了硬盘容量和内存都十分充足.最后在别人的提醒下检测了cpu,发现cpu的占用率达到了100%,一查询发现一个不认识的进程,网上查询了下,发现是挖矿进程.网上的解决方法不少,但是都不是很彻底,最后在反复试验了5个小时终于找到比较彻底的解决方法.

解决方法的总结

网上总结挖矿进程的入侵是redis的一个漏洞,所以前提必须关闭redis,并修复这个漏洞:

• • bind能访问redis的ip
  • 修改默认的端口号

确定挖矿进程的名称和pid

使用top -i命令,能看到占用cpu最多的进程,基本就能确定:

根据pid查询进程相关的信息

#ll /proc/pid

其中:cwd是进程文件的目录路径 exe是进程启动文件的路径

首先进入进程文件的目录,里面的文件仔细读读,我这里有两个文件killer.sh和deamon.sh

deamon.sh是守护进程,每次杀死挖矿进程的时候,这个进程就会重启挖矿进程:

从文件中可以看到,每次检测不到挖矿进程就会重新启动.

killer.sh是将后面启动的项目统统杀掉(败笔啊,这样容易被发现):

每隔3秒就检测杀掉某些进程.

解决策略

根据上面文件的内容,我们就可以有解决的策略了:

1 删除或改名守护复制的文件(/boot/grub/grub.tz),这样删掉启动文件就不会重新生成了

2 删掉启动文件

3 删除deamon.sh和killer.sh杀掉守护进程和killer进程

这两个进程在top中不一定能找到,可以使用ps -ef|grep deamon.sh这个命令来查询,若不杀掉进程会一直杀你的进程,.sh运行之后的文件写到内存中

4 杀掉挖矿进程

问题解决!!!