生產Server遭挖礦程式入侵,暴力佔用CPU
區塊鏈的火熱,利益驅使必然導致不少PC或Server,被變成肉雞,執行挖礦程式進行挖礦,進而導致我們正常的程式無法正常。
(Centos7 Server)使用top命令檢視伺服器程序執行情況,發現幾個較詭異程序。CPU戰用長期居高不下,系統負載load average值更是高出平時近百倍,且程序執行在一個原本並不存在的使用者上。系統遭入侵是必然的,並且執行著佔用巨大算力的程式,聯想到之前由此阿里雲主機有過一次礦機入侵經歷,想必這次挖礦程式入侵已是大概率事件。
下面要做的就是找出挖礦程式,清除並提升系統安全性。
可以看到三個ld-linux-x86-64命令佔用較多記憶體,採用相關命令來查詢實際的執行檔案
#ll /proc/pid – 可以羅列出相關的檔案及目錄
開啟其中一個可疑檔案pools.txt
可明顯的看到這是一個挖礦程式在執行,裡面顯出了currency:monero7幣種類型(xmr門羅幣),pool_address礦池地址,wallet_address錢包址等等。 採用CryptoNight演算法的代表幣種就是Monero,即XMR,門羅。這個是門羅幣老演算法,適合CPU伺服器挖礦,顯示卡礦機挖礦。哪怕是低端辦公用的I3處理器也擁有4Mb以上的三級快取,能夠用於這個演算法計算。
找到挖礦程式執行的所在目錄後,直接清除掉即可。諸如如下目錄:
#rm -rf /tmp/bin
#rm -rf /tmp/.lsb
#rm -rf /tmp/.rpm
刪除掉程式目錄後,中止對應程序
#kill -9 PID PID2 PID3
通過檢視非法使用者是何時建立的
同時清除掉執行挖礦程式的使用者
通過date -d命令,可以看出hadoop非法使用者是在2018-07-04日創建出來的。
#userdel -r hadoop //連帶目錄一同刪除
梳理下本次清除挖礦程式的步驟:
1、確定對應的程序,找出挖礦程式的目錄位置
2、清除所有挖礦相關的所有檔案,並中止程序
3、清除非法使用者及使用者組
4、更新原有賬戶體系下使用者的密碼強度,安裝強有力的防護軟體,提升系統安全性。