最近,有同事反映,我校AAA论坛登录异常,我赶紧通过ssh连接远程服务器发现无法登录,使用ping命令测试服务器连接正常。
接下来登录阿里云服务器管理页面,发现如下告警信息:
当时就慌了,挖矿进程?之前有朋友在家搞了几台挖矿服务器,结果噪音太大被邻居投诉。大多数矿机都集中到农村偏远地区了,(我国的比特币矿区基本上都在新疆和内蒙古地区)没有想到这些人居然把木马矿机搞到阿里云服务器上来了。果断重置密码,重启服务器。
重新使用新密码ssh服务器,成功登录。使用top命令查看进程。
可以发现服务器负载出奇的高,cpu一直占用90%以上,而且有一个xig的进程占用了大部分cpu资源。
下面我们要搞清楚xig进程是个啥东东?
这一下解开了庐山真面目。
通过这个url地址发现stratum协议是目前最常用的矿机和矿池之间的TCP通讯协议。看下图科普一下:
然后根据url地址可以找出挖矿软件的源头是http://www.yiluzhuanqian.com
最后我们来处理这个垃圾程序。强烈建议有关部门查封此网站,挖矿没有错,可不能盗用别人服务器资源啊。下面我们分步骤处理此恶意软件。
步骤一:删除硬盘上的yilu文件夹。
步骤二:结束xig进程,然后检查是否还有xig存在。
top命令查看,发现服务器cpu使用率已经正常了。
步骤三:检查系统定时任务,删除恶意任务。
使用crontab -e 删除恶意任务
至此,恶意程序被处理干净,此次事故造成我论坛异常访问两天,同时也给我们敲醒警钟,信息安全重于泰山,定期修改密码,增加密码复杂度可以有效防止类似的ssh密码被暴力破解的事故。愿天下无贼!
