商城类网站开发,自己做网站用php最快么,网站建设维护是啥意思,小型企业建站公司开始
恶意的挖矿程序会导致服务器cpu的异常占用#xff0c;很让人讨厌。起初#xff0c;我只是使用top命令显示出占用cpu不正常的进程#xff0c;发现其中一个进程占用了百分之九十九点几#xff0c;然后通过kill -9 PID命令干掉它。但总是过不了几天#xff0c;…开始
恶意的挖矿程序会导致服务器cpu的异常占用很让人讨厌。起初我只是使用top命令显示出占用cpu不正常的进程发现其中一个进程占用了百分之九十九点几然后通过kill -9 PID命令干掉它。但总是过不了几天它又重启了cpu继续变得异常占用。
寒假有天阿里云的人打电话问我服务器用得怎么样有没有什么问题。我就告诉他变成矿机了。他说可以提交工单交给他们来处理还不用收钱。我将信将疑今天突然看着又变得占用异常的cpu打算试一下。不过这个工单的入口藏得也太深了我在网上搜了好一会儿阿里云怎么提交工单。
工单网址https://selfservice.console.aliyun.com/ticket/createIndex
填写后我来到了如下页面是个机器人客服。嗯······和我想象的有点儿不一样。 怀着一点儿好奇我点进了它的文档照它所说进行了排查。
挖矿程序处理最佳实践_云安全中心(Security Center)-阿里云帮助中心 (aliyun.com)
排查 执行以下命令查看是否存在业务范围之外的可疑通信地址和开放端口。 iptables -L -n很快我发现自己并不知道怎么判断是不是可疑的不过好在这个命令没什么输出。 执行以下命令排查是否存在定时任务。 crontab -l[rootiZwz9d3syuv1c0i2e3vy8lZ ~]# crontab -l
5 6 * * 0 /root/.configrc5/a/upd/dev/null 21
reboot /root/.configrc5/a/upd/dev/null 21
5 8 * * 0 /root/.configrc5/b/sync/dev/null 21
reboot /root/.configrc5/b/sync/dev/null 21
0 0 */3 * * /var/tmp/.X87s78s7/.rsync/c/aptitude/dev/null 21我再次发现自己看不懂不过可以让机器人来看。 By 文心一言 从您提供的 crontab -l 输出中我们可以看到以下定时任务 5 6 * * 0 /root/.configrc5/a/upd/dev/null 21 - 这个任务在每周日的6点5分执行并尝试运行 /root/.configrc5/a/upd。这个命令的输出被重定向到 /dev/null意味着所有的输出包括错误都会被丢弃。reboot /root/.configrc5/a/upd/dev/null 21 - 这个任务在系统启动时执行并尝试运行 /root/.configrc5/a/upd。同样它的输出被重定向到 /dev/null。5 8 * * 0 /root/.configrc5/b/sync/dev/null 21 - 这个任务在每周日的8点5分执行并尝试运行 /root/.configrc5/b/sync。这个命令的输出也被重定向到 /dev/null。reboot /root/.configrc5/b/sync/dev/null 21 - 这个任务在系统启动时执行并尝试运行 /root/.configrc5/b/sync。它的输出同样被重定向到 /dev/null。0 0 */3 * * /var/tmp/.X87s78s7/.rsync/c/aptitude/dev/null 21 - 这个任务每3天午夜执行并尝试运行 /var/tmp/.X87s78s7/.rsync/c/aptitude。这个命令的输出也被重定向到 /dev/null。 从这些任务中我们可以看到以下几点 所有命令的输出都被重定向到 /dev/null这意味着您不会在系统日志中看到任何输出或错误。这可能是有意为之但也可能掩盖了一些问题。这些任务似乎都与特定的目录和文件有关如 /root/.configrc5/a/upd 和 /root/.configrc5/b/sync。确保这些路径是正确的并且您有适当的权限来访问它们。reboot 指令意味着这些命令将在系统启动时自动运行。确保您知道这些命令在启动时做什么以避免潜在的问题。 它也不能帮我直接判定上面的定时任务是不是运行挖矿程序的不过它提到了一些任务的时间那不如我就来看看cpu每次变得异常占用的时间。好家伙其中三次都恰好是早上的6点又对着日历一看还真都是周日。结合上面机器人的描述几乎实锤了。 不过我也不能确定其它的定时任务有没有问题最后还是把它们都删了。使用crontab -e命令可以编辑用户的定时任务组。其实还可以继续把定时任务指向的文件也删掉不过我暂时没有动它们这样万一我删错了出了上面问题只用把定时任务补回来就可以 虽然我觉得它们都有点可疑无缘无故的哪有什么定时任务。 然后就等着呗希望挖矿程序就此销声匿迹。
