背景

?好幾個(gè)朋友都找過(guò)我說(shuō)自己的服務(wù)或者網(wǎng)站異常的慢，甚至于無(wú)法訪問(wèn)

分析

拿到服務(wù)器權(quán)限登錄服務(wù)器，執(zhí)行top命令，發(fā)現(xiàn)存在100%cpu占用進(jìn)程，cpu idle為0

看到此時(shí)基本很明確服務(wù)器存在挖礦程序

查殺

? ? ?很多朋友首先想到的就是殺掉進(jìn)程，但是真正查殺時(shí)發(fā)現(xiàn)程序不斷變換名稱并重啟，讓人摸不著頭腦。

? ? ?學(xué)會(huì)一下幾步，我們就能干掉90%的挖礦病毒（以centos為例）

? ? ?1.關(guān)閉定時(shí)任務(wù) systemctl stop crond，清理定時(shí)任務(wù)

? ? ?2.如果病毒為某應(yīng)用cve漏洞進(jìn)入，則需要關(guān)閉對(duì)應(yīng)的進(jìn)程

? ? ?3.定位病毒目錄，rm清理

? ? ?4.殺掉程序進(jìn)程

? ? ?5.清理異常用戶 /etc/passwd

? ? ?6.清理用戶下未知來(lái)源公鑰 .ssh/authorized_keys

安全加固

? ? ?分析挖礦來(lái)源 mysql/pgsql/redis/gitlab/ssh等等

? ? ?通過(guò)配置防火墻策略把不需要暴露的端口drop掉

反制

? ? ?接下來(lái)如果有興趣的朋友可以通過(guò)我們應(yīng)用的訪問(wèn)日志來(lái)分析異常訪問(wèn)我們的ip，拿到ip之后可以對(duì)ip進(jìn)行一系列溯源掃描操作，至于什么操作，可以自己探索研究，正常的我們拿到ip之后就可以對(duì)此ip進(jìn)行加黑，以防止再次入侵我們服務(wù)。