【阿里云】尊敬的aliyun98****8825:
經(jīng)檢測您的阿里云服務(wù)（ECS實例）i-0jl8awxohyxk****axz5存在挖礦活動。根據(jù)相關(guān)法規(guī)、政策的規(guī)定，請您于2023-07-18 00時前完成挖礦問題整改，否則您的服務(wù)將被關(guān)停，詳情請查看郵件或阿里云站內(nèi)消息通知。
若您有其他問題，可登陸阿里云官網(wǎng)在線咨詢

在阿里云租了一個服務(wù)器，早上接到機(jī)器人電話說服務(wù)器被挖礦，啊啊啊煩死了，礦狗怎么還活著啊。
2023.07.11 記錄。

一、發(fā)現(xiàn)

先搜了下網(wǎng)上有沒有相似經(jīng)歷的，發(fā)現(xiàn)B站有個up主發(fā)了視頻 記一次服務(wù)器被挖礦的經(jīng)歷和排查 。簡單看了下他的視頻，有個比較清晰的思路了。
使用命令查看當(dāng)前進(jìn)程

ps -a

發(fā)現(xiàn)有一些奇怪的進(jìn)程，但又不確定是哪個。

阿里云網(wǎng)站上監(jiān)控服務(wù)器資源顯示突然被占用了很多資源。

top：查詢

通過CPU使用量找一下，查詢當(dāng)前的進(jìn)程使用資源狀況。

top

top以全屏交互式的界面顯示進(jìn)程排名，及時跟蹤包括CPU、內(nèi)存等系統(tǒng)資源占用情況，默認(rèn)情況下每三秒刷新一次，其作用基本類似于Windows系統(tǒng)中的任務(wù)管理器。

可以看到進(jìn)程xmrig占用了大量CPU資源，百度也可以搜到xmrig是個挖礦病毒。

二、排查

百度了一下，好麻煩，安全意識不夠強吧。
先查詢xmrig病毒的文件地址

ls -l /proc/進(jìn)程ID/exe

> lrwxrwxrwx 1 root root 0 Jul 11 13:04 /proc/3934534/exe -> /root/.cfg/xmrig

查到隱藏的地址，cd命令進(jìn)不去，找不到地址也無法刪除。后來發(fā)現(xiàn)是一個重定向的地址。用另一個語句查詢

find / -name xmrig

> /var/lib/docker/overlay2/860d7d30e33967a65150a3f93c5994a9077e1906e0f9ccda73ee1008803b92f1/merged/root/.cfg/xmrig
> /var/lib/docker/overlay2/860d7d30e33967a65150a3f93c5994a9077e1906e0f9ccda73ee1008803b92f1/diff/root/.cfg/xmrig

找到兩條病毒的信息，進(jìn)入到文件夾下發(fā)現(xiàn)是開的docker容器，原來是容器內(nèi)被病毒入侵了。
前兩天開了一個docker容器搭建python環(huán)境，將容器ssh通過openssh映射到公網(wǎng)端口上了，密碼設(shè)的比較簡單（123456），so被攻擊了。這個是將docker容器端口開放出來的博客 pycharm遠(yuǎn)程連接服務(wù)器docker容器內(nèi)python環(huán)境 。

到這里其實我可以直接將docker容器刪了重新啟動一個就行了，看了網(wǎng)上的教程，練練手。
礦狗還把我服務(wù)器密碼給改了（雖然只是docker容器），好氣！

三、清除

依舊查詢xmrig病毒的文件地址

top

>    PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                                                                                                                                       
>  11347 root      20   0 2440420   2.0g   4012 S 201.0  14.0   2399:29 xmrig         

ls -l /proc/11347/exe

> lrwxrwxrwx 1 root root 0 Jul 11 07:18 /proc/11347/exe -> /root/.cfg/xmrig

這次通過cd進(jìn)入文件可以看到多個病毒文件

cd /root/.cfg/
ls

> bios.txt  ps  xmrig

其中bios.txt是三個ip（172.18.0.1-3）。
直接將整個病毒的文件夾刪除

rm -rf /root/.cfg

殺死進(jìn)程

kill -9 11347

至此病毒清理完畢了，服務(wù)器恢復(fù)正常。

這里我沒遇到定時任務(wù)的問題，因為病毒一般來說都比較頑固，在其他問題中介紹下。

四、其他問題

其他博客提到了有定時任務(wù)的問題，粘在這里參考吧。

1.定時任務(wù)crontab

通過 crontab -l 發(fā)現(xiàn)沒有定時任務(wù)，但是會重新啟動
cd /etc/ 查看crontab文件發(fā)現(xiàn)有隱藏的定時任務(wù)
通過rm刪除文件時 rm -rf /etc/crontab ，沒有權(quán)限

chattr -ia /etc/crontab
rm -rf /etc/crontab

刪除后在./etc目錄下多看幾個crontab文件，發(fā)現(xiàn)病毒備份了多個定時任務(wù)，只要不是自己的定時任務(wù) 直接刪文件就好了

2.定時任務(wù)2

5.刪除定時任務(wù) rm -rf /var/spool/cron
6.刪除ssh認(rèn)證信息 rm -rf ./ssh/
7.原因，有可能是redis等程序?qū)е拢?br> 8.盡量使用內(nèi)網(wǎng)鏈接，不要暴露端口號或者外網(wǎng)地址

3.禁用root遠(yuǎn)程登錄

禁用 root 遠(yuǎn)程登錄的方法（用其它用戶su過去）：

sudo vi /etc/ssh/sshd_config

關(guān)閉 root 遠(yuǎn)程登錄
Find PermitRootLogin and set to no:

PermitRootLogin no

重啟 ssh 服務(wù)

sudo service ssh restart

參考內(nèi)容

Linux服務(wù)器清除xmrig挖礦病毒詳細(xì)教程
Linux服務(wù)器xmrig病毒處理
無意間發(fā)現(xiàn)我的一臺云服用器中了礦機(jī)xmrig的毒，哎?。?br>Xmrig挖礦木馬排查過程,xmrig占用大量CPU文章來源地址http://www.zghlxwxcb.cn/news/detail-670652.html

到了這里，關(guān)于記一次服務(wù)器被挖礦的排查過程：xmrig挖礦病毒的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！