我的服务器竟然被攻击了!

发表于 更新于 阅读次数: 本文字数: 556 阅读时长 ≈ 2 分钟

真的没想到我的服务器真的能被攻击呀!

之前买了两台华为云服务器,配置不高,但够我用。

就在上周,首先华为云-云监控服务给我发了好几条关于我的服务器CPU长时间使用率大于90%的告警短信,接着还有我装有naocsprometheusgrafana,配置了钉钉机器人告警的服务器也开始不断在钉钉群里推送告警消息。我也是很奇怪?这两台服务器虽然配置不高,但我装的东西,跑的程序也不至于把CPU跑满吧!

第一天晚上收到的消息,电脑也没在身边,就没当回事,因为我也确实有一周时间没有上服务器玩了,以为就是我的服务发疯呢。

直到第二天,问题还一直都在,我就不得不去看一下了。

真的是不看不知道一看吓一跳,首先通过top,目前运行的进程情况,高高在上的是我创建的app用户运行的一个神奇的程序.xr,这明显不对劲啊,我怎么什么都不知道,去搜索一下才知道,原来是挖矿病毒啊。该死的,还真就挖到我的服务器上了。

这能答应,直接开始反制,哦~不,先找一下该怎样正确的解决。

其实在看到挖矿程序是我创建的app用户运行时,我就大概猜到了,这个用户仅仅是为了我在部署docker镜像,方便平常查看服务日志等信息的,毕竟不能一直使用root用户嘛。也是为了方便,我账号密码设置的都是app。也就是这个草率的决定,导致了现在的结果,确实该。。。

处理方式可以参考下面的链接。

https://blog.csdn.net/LeyiChen_X/article/details/119677957

https://blog.csdn.net/yzf279533105/article/details/107716769

https://blog.csdn.net/ch520my/article/details/83657325

简单描述是:

1、top分析运行进程

2、cd /proc/进程号找到实际上运行的程序/脚本

3、登录该用户crontab -e,删除奇怪的定时任务

4、适当删除运行过程产生的垃圾文件