CPU疯狂飙升100%,阿里云短信预警,内心慌得一批。。。
经过咨询大佬和参考网上各个大佬们的文章,按这个大佬的方案进行解决https://blog.csdn.net/weixin_43141627/article/details/108599516
然后自己再做个小结:
1、各个应用最好不要用默认端口(如服务器ssh连接端口22、redis的6379等等),容易被扫描然后暴力破解;
2、服务器密码尽量设置复杂一点,就算暴力破解也得花时间,可通过此地址生成密码https://suijimimashengcheng.51240.com;
3、像诸如redis这种缓存机制+持久化的应用开启远程连接权限需慎用(我们因为大家在家办公,为了方便就开启了,密码也简单所以很容易就被入侵了);
4、一旦被病毒入侵后,最好就是将现有的资源进行备份或迁移(如svn、数据库等等),然后进行重装系统,必要的话还可以防火墙加白名单限制访问服务。
针对病毒主程序写了一个简单的清理脚本(可以加入定时任务中定时执行)
#!/bin/bash # # author:liusha # description:挖矿病毒文件清理 SName=sysupdate NName=networkservice SPath=/etc/$SName NPath=/etc/$NName SPid=`ps -ef | grep ${SName} | grep -v grep | awk '{print $2}'` NPid=`ps -ef | grep ${NName} | grep -v grep | awk '{print $2}'` #杀死【sysupdate XMR 挖矿】进程 if [[ ! -n "$SPid" ]]; then echo "${SName}进程未运行,可能已经被杀死" else echo "准备杀死${SName}的进程,pid=${SPid}" kill -9 $SPid fi #杀死【networkservice scanner扫描并入侵其他的主机】进程 if [[ ! -n "$NPid" ]]; then echo "${NName}进程未运行,可能已经被杀死" else echo "准备杀死${NName}的进程,pid=${NPid}" kill -9 $NPid fi #清理【sysupdate XMR 挖矿】文件 if [[ ! -f "$SPath" ]]; then echo "${SPath}文件不存在,可能已经被清理" else chattr -i $SPath echo "${SPath}权限文件修改成功 准备删除..." rm -rf $SPath fi #清理【networkservice scanner扫描并入侵其他的主机】文件 if [[ ! -f "$NPath" ]]; then echo "${NPath}文件不存在,可能已经被清理" else chattr -i $NPath echo "${NPath}权限文件修改成功 准备删除..." rm -rf $NPath fi