记一次被黑客入侵后的处理

2019-02-26  本文已影响0人  雨中星辰0
作者 时间
雨中星辰 2019-02-26

star闲来无事敲点代码,突然发现,咦,我的mongodb怎么连接不上了?
没关系,telnet 试试,额,不通。
没关系,可能是服务崩溃了,赶紧登陆服务器看看。
咦,发现使用crt连接服务器特别慢,特别卡。好像不太正常。
top看看系统资源情况

image.png
咦,mxrig是什么进程?把cpu给撑爆了,还有下面那么多不认识的、乱七八糟名字的进程又是什么进程?看起来像是docker进程啊?
算了,算了,管它39 21的,我先把xmrig进程先kill了。
额,卡死了,根本操作不了,看来只有使用我的绝招了,登录服务器网页管理端,重启服务器(据说这是网管三大绝招之一,重启、换机子)

重新登录服务器果然好使了,top看看,嗯,很干净,没什么不认识的服务。
好了,那么就重启docker吧,sudo systemctl start docker,等了一会,一看,我那个擦,服务器又被xmrig进程撑爆了,算了百度一下吧,这是什么进程,

image.png
凉西皮的。。。。
话说比特币都跌成这样了,你们还挖币呢。。。真是x了🐶了。
查查历史记录history,看着家伙还干了什么,好吧,都清理干净了。可以的。

服务我都停了,怎么又自动起来了???算了,查查crontab吧,看是不是有什么定时任务,crontab -l.。。。。果然是,一分钟执行一次,我说呢。。

image.png
看看脚本具体内容吧。
image.png
再看看stargate内容吧。less /usr/local/qcloud/stargate/sgagent
less显示这个一个二进制文件,打开也看不懂啊,
image.png
算了算了,不管了,统统删除了,睡觉吧。
  1. 删除定时任务
    crontab -e
  2. 删除docker所有的不认识的容器
    docker ps |awk '{print $1}' |xargs kill -9
  3. 删除镜像仓库所有不认识的镜像
    docker image ls |grep -v jetbrains|grep -v onlyoffice|grep -v ilanyu|grep -v zeus|awk '{print $3}'|xargs docker image rm
  4. 修改服务器密码
  5. 睡觉💤。。。
上一篇下一篇

猜你喜欢

热点阅读