好几个月前阿里云提示服务器主动连接恶意下载源,查看服务器发现被种植了挖矿木马,当时清理修复之后忘了记录,特写此篇。文中无截图及详细的命令,只是记录一下过程以及遇到的问题。
清理可疑进程
- 首先用top就发现了占用90%+的可疑进程,老子反手就是一个kill,杀掉之后CPU瞬间就降下来了
- 接着查看了tmp临时目录,发现有可疑的压缩包,直接删除掉
- 过了没多久又发现CPU占用100%了,再次kill掉进程,然后怀疑有守护进程 ,遂寻找kill
- 过程中也查看了定时任务,并未发现可疑(定时任务太明显了吧啊喂)
- 清理过程到此即结束
软件漏洞
清理完服务器之后查看阿里云的安全事件提示,发现被远程执行代码访问了恶意下载源,然后远程执行木马,父进程是php-fpm,联想到之前官方提示了漏洞(CVE-2019-11043),没在意的代价很大呀。之后修改了nginx配置,编译升级了php版本。
世界清净啦
PS:自己的小服务器瞎搞