突发状况!服务器被黑成矿机了。
早上收到阿里云的提醒短信,说Server可能被黑客入侵了。。What? 那台server基本不对外,还被盯上了?
打开电脑,SSH连接server,速度非常慢,敲一行命令,几秒钟才能看到。 看CPU占用100%了。先看看是啥进程占用,top命令,第一个xmrig进程就是把CPU干到了100%,应该就是罪魁祸首了。。
搜了一下,这个xmrig竟然是用来挖狗狗币的,看来黑客把我花钱租的server黑成他的矿机了。
Kill -9 [pid] 先杀掉再说。杀完又启动了,杀不死!
应该是黑客搞修改了系统启动文件。
找到\etc\bash.bashrc,打开后发现最后一行,被增加了一行非法启动xmrig的代码,删掉,保存退出。source -/ .bashrc 刷新。
继续kill 进程.
关键还要定位xmrig的文件,找到后删除
find / -name xmrig
竟然藏在了多个地方,一一找到,
用rm -rf 删除
重启! 网站还是看不到,再SSH连接进去,用netstat -tlnp 查看端口, next.js web的3000端口没启动。想起来,xmrig文件其中一个藏身之处就是在web文件夹里。
pm2 status, 看到没有web启动。
pm2 start pnpm --name "myweb" -i --run start
再netstat --tlnp ,已经看到了3000端口
等等,nginx 的各个端口都没有!太可恨了,nginx都不放过. 用sudo nginx -t检查nginx.conf, 确实报错了。
再找到\etc\nginx\nginx.conf打开看没有异常,再查sites-enable文件夹,发觉多了default文件, 打开后也是xmrig的脚本,删除,又ls -lta看看还有啥漏网之鱼,果然还有个隐藏的default,再rm -rf .*删隐藏文件。
sudo nginx -t 状态Ok.
sudo systemctl restart nginx
打开浏览器,网站已经恢复。
以上只为记录此次服务器清除xmrig挖矿病毒,并恢复网站的过程。
早上收到阿里云的提醒短信,说Server可能被黑客入侵了。。What? 那台server基本不对外,还被盯上了?
打开电脑,SSH连接server,速度非常慢,敲一行命令,几秒钟才能看到。 看CPU占用100%了。先看看是啥进程占用,top命令,第一个xmrig进程就是把CPU干到了100%,应该就是罪魁祸首了。。
搜了一下,这个xmrig竟然是用来挖狗狗币的,看来黑客把我花钱租的server黑成他的矿机了。
Kill -9 [pid] 先杀掉再说。杀完又启动了,杀不死!
应该是黑客搞修改了系统启动文件。
找到\etc\bash.bashrc,打开后发现最后一行,被增加了一行非法启动xmrig的代码,删掉,保存退出。source -/ .bashrc 刷新。
继续kill 进程.
关键还要定位xmrig的文件,找到后删除
find / -name xmrig
竟然藏在了多个地方,一一找到,
用rm -rf 删除
重启! 网站还是看不到,再SSH连接进去,用netstat -tlnp 查看端口, next.js web的3000端口没启动。想起来,xmrig文件其中一个藏身之处就是在web文件夹里。
pm2 status, 看到没有web启动。
pm2 start pnpm --name "myweb" -i --run start
再netstat --tlnp ,已经看到了3000端口
等等,nginx 的各个端口都没有!太可恨了,nginx都不放过. 用sudo nginx -t检查nginx.conf, 确实报错了。
再找到\etc\nginx\nginx.conf打开看没有异常,再查sites-enable文件夹,发觉多了default文件, 打开后也是xmrig的脚本,删除,又ls -lta看看还有啥漏网之鱼,果然还有个隐藏的default,再rm -rf .*删隐藏文件。
sudo nginx -t 状态Ok.
sudo systemctl restart nginx
打开浏览器,网站已经恢复。
以上只为记录此次服务器清除xmrig挖矿病毒,并恢复网站的过程。