昨天為了協助客戶測試業務,幫客戶開通了一台雲主機,因為是測試環境是以密碼設定的很簡單:1qaz@WSX,今天登陸的是否發現密碼認證不通過了,确定機器是被黑掉了,估計多半是被國外小哥入侵挖礦了,記錄下排查過程。
雲控制台修改雲主機密碼
因為密碼認證不通過無法登入系統,是以首先第一步是需要強制修改密碼,目前大多數雲廠商都支援控制台修改密碼,是以這一步就不需要較長的描述了。
檢視雲主機運作情況
可以看到一個名為r64的程序已經将我4C的CPU完全占用,判斷此程序為挖礦程序。
将此程序kill後發現會自啟,懷疑有寫入計劃任務定時重新開機此程序。
這個是被我查詢到後注釋的,因為是測試機,是以我也不是很在意,而且也想看看被植入的腳本都執行了些什麼東西,是以就沒有删除這些資訊,先注釋将CPU恢複正常即可,将此計劃任務注釋後發現程序沒有再啟動,系統恢複正常。
公布挖礦腳本資訊
檢視雲主機監控資訊
作者:Federico Sun
部落格位址:https://www.cnblogs.com/Cherry-Linux
座右銘:人總是這麼痛苦嗎?還是隻有小時候這樣?總是如此。