服务器被黑...矿机蠕虫病毒(特征名:pnscan/.gpg)
By 小鸟游·飒
处理流程
安装vpn失败什么的就不说了,直接说怎么发现的吧。
啊呸...服务器面板都红成这样了傻子都知道...
还有一个现象就是上传的数据特别大...一直居高不下,监控图忘了截只能文字叙述了!
当时因为还在卸载vpn的一些依赖包之类的以为是自己还原配置出问题了。
但是当我卸载和还原都弄完后发现这个情况依然存在,肯定是出什么幺蛾子了。
登上服务器我优先去看了下网络,好吧看不出什么
然后直接去查进程,问题出来了
这两个进程反正是没看到过,直接去查。
查到的结果很简单,通过redis的默认6379端口进来的蠕虫病毒,中毒后你就是一台矿机了。
我特么的1核1G的你也不放过...丧心病狂- -#
尝试kill无效...emmmm不是脚本就是进程守护!继续查...
这个时候其实xshell都已经很卡了...上下命令行回滚什么的都卡得不行了...下面那条无意义操作无视吧!进入/usr/local/bin/目录下,将整个pnscan删除。
之后你会发现进程不再自启,随后kill掉挖矿主进程
顺带也查了下自启目录,确定了没有自启情况
对于脚本,个人猜测是root下的这个文件
不管了直接删。
和网上查到的办法来比...我省略了很多步...总之结果没问题就好
一些安全总结吧
修改ssh默认接口(前几天被爆破过,不过及时修改没被黑)
一些软件尽可能修改他的默认端口,以及加大密码强度。如果可以尽可能不允许公网访问!
2018-05-11 16:11