🧑💻作者名称:DaenCode 🎤作者简介:啥技术都喜欢捣鼓捣鼓,喜欢分享技术、经验、生活。 😎人生感悟:尝尽人生百味,方知世间冷暖。 📖所属专栏:云服务器维护
@[toc]
🌟前言
2023年8月8日上午突然收到一条腾讯云服务器的一条站内信:服务器疑似被挖矿。因为对云服务器不是很熟,只是会玩玩简单的命令,从来没有遇到过这种问题,当时是慌极了。看到站内信中提示不在规定的时间内处理,服务器就会被封禁,我才刚买的服务器呀。于是,就去网上查阅了相关博客以及腾讯云官网的处理手册,来对此进行了处理。
🌟挖矿介绍
挖矿:是指通过
计算机处理复杂的数学问题来验证和记录加密货币(如比特币)交易的过程。挖矿的目的是维护和安全地管理加密货币的分布式账本,称为区块链。 在加密货币网络中,交易记录被打包成一个区块,并添加到区块链中。为了确保安全性和可信性,每个区块都需要经过一定的计算工作,这涉及解决一个难题或寻找一个特定的哈希值。这就是挖矿所涉及的计算过程。 挖矿过程需要大量的计算能力和电力资源。挖矿者使用计算机设备(如ASIC矿机、图形处理器等)来执行这些计算任务。当一个矿工成功地解决了问题并找到了正确的哈希值时,他们将获得一定数量的加密货币作为奖励。 现象:
- CPU或内存占用率异常高:由于挖矿活动需要大量的计算资源,攻击者会利用被感染服务器的处理能力来进行挖矿操作。这可能导致服务器的CPU或内存占用率显著增加,使系统变得缓慢或无响应。
- 网络流量异常:挖矿活动通常需要与外部的挖矿池或命令控制服务器(C&C)进行通信。因此,服务器上的网络流量可能会增加,并且可能存在与挖矿相关的传输或连接。
- 异常的系统行为:挖矿活动可能会引起系统的异常行为,例如频繁的重启、崩溃或异常关机等。这是由于攻击者滥用了服务器的资源,导致系统无法正常运行。
- 能源消耗增加:由于挖矿活动对服务器的资源需求较高,攻击者会明显增加服务器的能源消耗。如果服务器的电力使用量异常增加,而且没有其他明显的原因解释,那么可能存在挖矿活动。
- 异常的日志记录:攻击者可能会修改服务器的日志记录,以隐藏其挖矿活动的痕迹。因此,如果服务器的日志文件出现异常或缺失关键信息,可能是被挖矿攻击所导致。
🌟解决步骤
查看系统当前运行进程
通过top -c命令,来查看系统当前运行进程。通过下图可以看出致使CPU197.4%飙升的进程是一个文件。
杀掉当前进程PID,我次儿嘹CPU还是暴涨
我次儿嘹,当时我发现通过kill -9发现不能强制终止。后来上网查阅可能有定时任务,于是通过crontab -l命令查到了。于是将其处理掉,发现CPU还是不能趋于稳定。
处理疑似文件,哎哟发现不明IP
通过vim命令打开文件可以发现下方配置文件中出现了未知的IP地址。
查询得知是小日子那边的IP。这个文件起初没有进行删除,因为不敢确定是否为原有系统配置文件。于是我进行了下一步
查看网络进程,又是那个IP
通过netstat -antp命令查询网络连接情况。可以从图中看到又看到了这个ip地址,于是就更加确认是这个原因了。果断将其删除!
处理不明网络连接
通过ls -l /proc/PID/exe命令,查询到与当前网络连接相关的进程并进行处理。
查看与不明网络连接进程的相关进程
通过lsof -c rumpostgreswk命令查询与之相关的进程。
终止所有相关的进程
通过kill -9命令终止所有相关的进程。
CPU恢复稳定
经过上述操作处理后,发现CPU的使用率瞬间就降低了,个人自认为完美的解决了此问题,哈哈哈哈哈哈。有懂这个的、经验丰富的,还请多多指教!
🌟写在最后
有关于服务器疑似被挖矿处理的记录到此就结束了。我也不知道自己的处理是否规范不规范,对于云服务器的维护也是首次维护,希望有大佬给我推荐推荐或者大家还有什么思路希望在评论区留言!大家还遇到过哪些问题呢?
