文章目录
- 前言
- 一、服务器为什么会被告警挖矿?
- 二、怎么解决:
- 1.top 命令查看进程cpu 占用情况:
- 2.通过pid进程号,查找改程序所在的目录:
- 3. 强制删除脚本文件:
- 4. 强制杀死进程:
- 5. 检查是否有脚本的定时任务:
- 5.1 检查定时任务是否开启:
- 5.2 查看存在的任务:
- 6. 检查是否被创建了其它用户:
- 7. 登录阿里云的后端在云安全中心处理告警事件:
- 总结:
前言
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。
一、服务器为什么会被告警挖矿?
云服务器中被恶意安装了脚本,然后脚本运行占用了大量的cpu 和内存,触发了云服务器监控的告警;
二、怎么解决:
挖矿行为需要强大的算力支持,所以其一定会占用大量的cpu 资源,所以我们以此关键点展开
1.top 命令查看进程cpu 占用情况:
top
cpu 占用越多,该进程是挖矿进程的可能性越大,可以清楚的看到有进程竟然将cpu 的占用率达到了100% ;
2.通过pid进程号,查找改程序所在的目录:
提示{pid} 为 top 命令 第一列对应的PID
ls -l /proc/{pid}| grep exe
这里可以清楚的看到改进程脚本所在的目录;
3. 强制删除脚本文件:
rm -f 跟文件的路径
4. 强制杀死进程:
kill -9 {pid}
通过以上步骤,我们已经删掉了脚本文件,并且杀死了进程,此时cpu 的占用应该会显著下降,可以使用top 命令在观察下;
5. 检查是否有脚本的定时任务:
防止定时有挖矿的定时任务存在;
5.1 检查定时任务是否开启:
systemctl status crond
5.2 查看存在的任务:
crontab -l
如果发现有可疑的任务 则编辑删掉任务(记得看下这个脚本的位置将脚本也一起删掉):
vim /etc/crontab
然后重新加载任务:
/bin/systemctl restart crond
6. 检查是否被创建了其它用户:
cat /etc/passwd
如果发现被创建了用户则进行删除:
删除用户和用户组:其中 username 是需要删除的用户的用户名
userdel -r username && groupdel username
7. 登录阿里云的后端在云安全中心处理告警事件:
当出现挖矿事件时,云安全中心会产生挖矿程序的告警事件,在这个列表下单击操作列的处理,完成处理:
总结:
以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
