解决阿里云服务器被植入挖矿脚本过程

文章目录

前言

基于学习的便利性，在阿里云服务中购买了云服务器，但是突然被告警提示被挖矿，而且要在一定期限内解决挖矿问题，否则就会被关停服务，本篇对于其处理过程进行一个记录，可能对于挖矿的处理也不全面，欢迎各路大神进行评论交流。

一、服务器为什么会被告警挖矿？

云服务器中被恶意安装了脚本，然后脚本运行占用了大量的cpu 和内存，触发了云服务器监控的告警；

二、怎么解决：

挖矿行为需要强大的算力支持，所以其一定会占用大量的cpu 资源，所以我们以此关键点展开

1.top 命令查看进程cpu 占用情况：

top

cpu 占用越多，该进程是挖矿进程的可能性越大，可以清楚的看到有进程竟然将cpu 的占用率达到了100% ；

2.通过pid进程号，查找改程序所在的目录：

提示{pid} 为 top 命令 第一列对应的PID

 ls -l /proc/{pid}| grep exe

这里可以清楚的看到改进程脚本所在的目录；

3. 强制删除脚本文件：

rm  -f  跟文件的路径

4. 强制杀死进程：

kill -9 {pid}

通过以上步骤，我们已经删掉了脚本文件，并且杀死了进程，此时cpu 的占用应该会显著下降，可以使用top 命令在观察下；

5. 检查是否有脚本的定时任务：

防止定时有挖矿的定时任务存在 ；

5.1 检查定时任务是否开启：

systemctl status crond

5.2 查看存在的任务：

crontab -l

如果发现有可疑的任务 则编辑删掉任务（记得看下这个脚本的位置将脚本也一起删掉）：

 vim /etc/crontab

然后重新加载任务：

/bin/systemctl restart crond

6. 检查是否被创建了其它用户：

cat /etc/passwd

如果发现被创建了用户则进行删除：

删除用户和用户组：其中 username 是需要删除的用户的用户名

userdel -r username && groupdel username

7. 登录阿里云的后端在云安全中心处理告警事件：

当出现挖矿事件时，云安全中心会产生挖矿程序的告警事件，在这个列表下单击 操作列 的 处理 ，完成处理：

总结:

以上就是今天要讲的内容，本文仅仅简单记录了处理服务器挖矿的流程，记录的不全面，欢迎各路大神探讨交流。