區塊鏈的火熱,利益驅使必然導致不少PC或Server,被變成肉雞,執行挖礦程序進行挖礦,進而導致我們正常的程序無法正常。
(Centos7 Server)使用top命令查看服務器進程運行情況,發現幾個較詭異進程。CPU戰用長期居高不下,系統負載load average值更是高出平時近百倍,且進程運行在一個原本並不存在的用戶上。系統遭入侵是必然的,並且運行著佔用巨大算力的程序,聯想到之前由此阿里雲主機有過一次礦機入侵經歷,想必這次挖礦程序入侵已是大概率事件。
下面要做的就是找出挖礦程序,清除並提升系統安全性。
可以看到三個ld-linux-x86-64命令佔用較多內存,採用相關命令來查找實際的運行文件
#ll /proc/pid -- 可以羅列出相關的文件及目錄
打開其中一個可疑文件pools.txt
可明顯的看到這是一個挖礦程序在運行,裡面顯出了currency:monero7幣種類型(xmr門羅幣),pool_address礦池地址,wallet_address錢包址等等。
採用CryptoNight算法的代表幣種就是Monero,即XMR,門羅。這個是門羅幣老算法,適合CPU服務器挖礦,顯卡礦機挖礦。哪怕是低端辦公用的I3處理器也擁有4Mb以上的三級緩存,能夠用於這個算法計算。
找到挖礦程序運行的所在目錄後,直接清除掉即可。諸如如下目錄:
#rm -rf /tmp/bin#rm -rf /tmp/.lsb#rm -rf /tmp/.rpm
刪除掉程序目錄後,中止對應進程
#kill -9 PID PID2 PID3
通過查看非法用戶是何時創建的
同時清除掉運行挖礦程序的用戶
通過date -d命令,可以看出hadoop非法用戶是在2018-07-04日創建出來的。#userdel -r hadoop //連帶目錄一同刪除
梳理下本次清除挖礦程序的步驟:
1、確定對應的進程,找出挖礦程序的目錄位置
2、清除所有挖礦相關的所有文件,並中止進程
3、清除非法用戶及用戶組
4、更新原有賬戶體系下用戶的密碼強度,安裝強有力的防護軟件,提升系統安全性。
分享到:
閱讀更多 JAVA柯尼塞克丶 的文章
