2021-02-22 分類: 網(wǎng)站建設(shè)
某日,正在午休中,突然一則噩耗從前線傳來:網(wǎng)站不能訪問了!
有興趣的同學(xué)想查看以上完整源代碼,命令行運(yùn)行下面指令(不分操作系統(tǒng),方便安全無污染):
殺掉,找到存放目錄:
進(jìn)入臨時目錄:
被我發(fā)現(xiàn)配置文件了,先來看看內(nèi)容:
虎軀一震,發(fā)現(xiàn)了不少信息啊,User 是他的 Server 的登錄用戶,下面是密碼,只可惜加密過,應(yīng)該找不到對方。
算了,大度的我先不和你計較。干掉這兩個文件后再查看 Top:
解決辦法
找到寄生的目錄,一般都會在 tmp 里,我這個是在 /var/tmp/。首先把 crontab 干掉,殺掉進(jìn)程,再刪除產(chǎn)生的文件。啟動 Tomcat 等程序,大功告成!
等等,這遠(yuǎn)遠(yuǎn)不夠,考慮到能被拿去挖礦的前提下你的服務(wù)器都已經(jīng)被黑客入侵了,修復(fù)漏洞才對,不然你殺掉進(jìn)程刪掉文件后,黑客后門進(jìn)來 history 一敲,都知道你做了啥修復(fù)手段。
所以上面辦法治標(biāo)不治本,我后續(xù)做了以下工作:
對了,本次遭受攻擊是低版本 ActiveMQ 開放端口 61616 有漏洞,大家記得做優(yōu)化。
遇到挖礦木馬最好的解決方式:將主機(jī)鏡像、找出病毒木馬、分析入侵原因、檢查業(yè)務(wù)程序、重裝系統(tǒng)、修復(fù)漏洞、再重新部署系統(tǒng)。
寫在最后
網(wǎng)友提供的一勞永逸終極解決辦法:把你自己的挖礦腳本掛上去運(yùn)行,這樣別人就算掛腳本也跑不起來了。
分享題目:糟糕!服務(wù)器被植入挖礦木馬,CPU飆升200%
網(wǎng)站網(wǎng)址:http://jinyejixie.com/news/102346.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁設(shè)計公司、小程序開發(fā)、微信公眾號、全網(wǎng)營銷推廣、Google、品牌網(wǎng)站設(shè)計
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容