服务器被门罗币挖矿病毒攻击的处理

收到阿里云报警短信 cpu使用率超过100%

上服务器 查看了一下。

发现有dev账号启动的进程特别可以   一个是cron  一个是tsm

直接su dev 切换到dev账号

并查看定时任务

看到这里 比较怀疑是弱密码被**了。由于年代久远，服务器里的账号具体做什么用已经不清楚了。

进入路径路面查看

一开始看了下  命令是sync，还比较怀疑，为什么sync命令会导致cpu这么高呢。一看 结果是这里的sync。

全局find了一下tsm，在tmp路径下找到了部分文件。这边把这个文件放在网盘了，供大家研究学习与讨论。

链接：https://pan.baidu.com/s/1h7hecKlWDtbZ4bZcLABWuw

提取码：snoi

复制这段内容后打开百度网盘手机App，操作更方便哦

部分是2进制文件  具体是什么不清楚。

生成firefixcatche的文件

这个应该是密码。但是没有在里面找到dev账号。

矿池

lib库

 

下载器

这边处理过程是

去除dev账号下的crontab 任务

删除dev账号  进程号用户名就变成id了 还是存在的

删除dev的home路径。

去除/tmp下运行tsm文件夹的执行权限，删除挖矿文件。

通过top排序 杀掉dev用户启动的进程

netstat –natp查看是否存在可以连接  直接杀掉。

看了一下阿里云的云安全中心。dev这个账号在近期被**了，赶紧查看别的虚拟机 是否存在这个账号。的确有dev账号 密码是123456，晕倒。但是被攻击的这台dev账号的密码已经被修改过了，一开始怀疑的时候 还测试了一下。

最后查到是门罗币，cpu挖矿。可参考下面文档

https://blog.****.net/wab719591157/article/details/82717458

https://blog.****.net/m0_37313888/article/details/82869939