这是一个创建于 170 天前的主题,其中的信息可能已经有所发展或是发生改变。
阿里云服务器,最佳频繁收到阿里云的短信和邮件,内容就是发现挖矿病毒
N 年前用 windows 时,先是折腾各种杀毒软件,后折腾各种小工具,然后换到了 linux
今天发现,linux 用户的一大缺点就是不知道怎么处理病毒……
btop 看,perfctl 占用 50%CPU ,因为双核,表示占用整个 CPU 的时间
which 还找不到可执行文件
ls -l /proc/XXX/exe 才能找到可执行文件,文件位于/tmp/.perf.c/perfctl ,不过已经被阿里云删了
尝试 kill ,会自动重启
N 年前用 windows 时,先是折腾各种杀毒软件,后折腾各种小工具,然后换到了 linux
今天发现,linux 用户的一大缺点就是不知道怎么处理病毒……
btop 看,perfctl 占用 50%CPU ,因为双核,表示占用整个 CPU 的时间
which 还找不到可执行文件
ls -l /proc/XXX/exe 才能找到可执行文件,文件位于/tmp/.perf.c/perfctl ,不过已经被阿里云删了
尝试 kill ,会自动重启
 | 1 adoal 170 天前 看看它的父进程 |
 | 2 pagxir 170 天前 via Android 实在不行就重装大法。一般不是直接 kill ,而是 stop 它,然后把父进程也一并杀掉 |
 | 3 defunct9 170 天前 开 ssh ,让我上去看看 |
 | 4 ondeay 170 天前 排查定时任务,和服务自启动,最方便的还是重装 |
 | 5 duzhuo 170 天前 搞好之后别忘了安装 fail2ban 和开启密钥登录 |
 | 6 wyntalgeer 170 天前 要找服务,这种的都是搞了个服务,在 tmp 里拷贝个分身,启动,然后自删分身。本体找到了一般没有删除权限,还要用 root 修改权限然后删掉,删掉后继续观察,如果还会出现,说明没找对,可以删了之后&&mkdir 一个同名目录防止它转生 |
 | 7 littlepigpeppa 170 天前 这头像好多年了没看到了,以前玩了几百个小时 |
 | 8 yanqiyu 170 天前 这种情况我一般建议直接重装,因为这类病毒一旦拿到权限能干的坏事不少,很难追查 |
 | 9 jardel 169 天前 linux 如果你没有做用户权限划分,并且病毒获取到了 root 建议重装系统。 |
 | 10 idragonet 169 天前 重新安装吧。 |
 | 11 myownroc 169 天前 有个守护进程吧,systemctl 之类的看看能不能查出来 |
 | 12 yinmin 169 天前 via iPhone 建议重装,新系统 ssh 关闭密码必须 key 登录,用 docker 部署所有软件,保持容器无状态(数据 volume 到宿主机),将来再次出现问题,只要对出问题容器 docker compose down 然后 up 一下就可以 |
| 13 yinmin 169 天前 via iPhone  2 接#12 docker 容器尽量基于 debian 或 ubuntu ,不推荐 alpine 。 debian/ubuntu 基础镜像默认是不含网络工具的(没有 ping 、wget 、curl 、nc 等),黑客利用漏洞入侵时往往需要用到这些工具。 alpine 基础镜像有 busybox 功能太多,有 wget 、nc 、ping 都是黑客的最爱,黑客注入 shell 入侵时会用到 wget 、nc 等工具。 |
Select Language