记一次被黑客入侵后的处理
2019-02-26 本文已影响0人
雨中星辰0
作者 | 时间 |
---|---|
雨中星辰 | 2019-02-26 |
star闲来无事敲点代码,突然发现,咦,我的mongodb怎么连接不上了?
没关系,telnet 试试,额,不通。
没关系,可能是服务崩溃了,赶紧登陆服务器看看。
咦,发现使用crt连接服务器特别慢,特别卡。好像不太正常。
top
看看系统资源情况
咦,mxrig是什么进程?把cpu给撑爆了,还有下面那么多不认识的、乱七八糟名字的进程又是什么进程?看起来像是docker进程啊?
算了,算了,管它39 21的,我先把xmrig进程先kill了。
额,卡死了,根本操作不了,看来只有使用我的绝招了,登录服务器网页管理端,重启服务器(据说这是网管三大绝招之一,重启、换机子)
重新登录服务器果然好使了,top
看看,嗯,很干净,没什么不认识的服务。
好了,那么就重启docker吧,sudo systemctl start docker
,等了一会,一看,我那个擦,服务器又被xmrig进程撑爆了,算了百度一下吧,这是什么进程,
凉西皮的。。。。
话说比特币都跌成这样了,你们还挖币呢。。。真是x了🐶了。
查查历史记录
history
,看着家伙还干了什么,好吧,都清理干净了。可以的。
服务我都停了,怎么又自动起来了???算了,查查crontab吧,看是不是有什么定时任务,crontab -l
.。。。。果然是,一分钟执行一次,我说呢。。
看看脚本具体内容吧。
image.png
再看看stargate内容吧。
less /usr/local/qcloud/stargate/sgagent
less显示这个一个二进制文件,打开也看不懂啊,
image.png
算了算了,不管了,统统删除了,睡觉吧。
- 删除定时任务
crontab -e
, - 删除docker所有的不认识的容器
docker ps |awk '{print $1}' |xargs kill -9
- 删除镜像仓库所有不认识的镜像
docker image ls |grep -v jetbrains|grep -v onlyoffice|grep -v ilanyu|grep -v zeus|awk '{print $3}'|xargs docker image rm
- 修改服务器密码
- 睡觉💤。。。