用了这么多年 linux,第一次遇到了挖矿木马植入攻击 1。记录一下分析和解决过程。
1 事情经过
昨天用 top 命令查看服务器 cpu 使用情况,突然发现一个用户占用了 8 个 cpu 跑了一个cron,并且运行时间越来越长。
这个用户一般情况下是不会去使用服务器的,所以我立马引起警觉,联系当事人,询问情况。
很显然该用户没有做任何操作。
由于这个服务器本身的一些原因,暂时无法解决的安全问题,这次并没有查出入侵的原因是管理员用户弱密码攻击,还是运行的某些服务有漏洞。
2 删除木马程序
首先要做的是关掉这个<code …