这是一个创建于 1607 天前的主题,其中的信息可能已经有所发展或是发生改变。
前两天生产有两台服务器被放了挖矿脚本,用 top 看,没发现有 100%的进程,但是看到 load average 很高,9 点多,平时基本都是零点几,因为没有系统的学习 linux,去网上搜了一段命令,才看到看到消耗 cpu 的进程,后面才 kill 进程,找到脚本文件,删除了定时任务
后面有点细思极恐了,是不是 root 密码泄漏了,赶紧改了密码,还好数据库没出问题,但还是很慌,有没有这种防范排查的教程呀,或者说一些安全操作生产服务器的规范.
后面有点细思极恐了,是不是 root 密码泄漏了,赶紧改了密码,还好数据库没出问题,但还是很慌,有没有这种防范排查的教程呀,或者说一些安全操作生产服务器的规范.
 |
1
Graves OP ps -aux --sort=-pcpu|head -10
这个命令查看消耗 cpu 前十的进程 |
 |
2
ddosakura 2019-11-22 15:37:03 +08:00 via Android
禁用密码登录,用密钥
|
|
3
Graves OP 巧合的是,我搜到的那篇文章,挖矿脚本的位置,crontab 的内容一模一样,手动狗头....我就照着做处理掉了,cpu 负载也下来了
|
|
4
Graves OP 自己也有思考这个问题,需要搞个公司内网的跳板机,然后需要登陆的机子密钥都放跳板机上面,要链接服务器就通过跳板机免密登陆,但是有个习惯,就是通过 filezilla 拉去文件,可视化的工具比较方便,免密登陆好像就用不了 filezilla
|
 |
5
dier 2019-11-22 15:59:32 +08:00
可视化上传下载文件可以用 winSCP,支持密钥
|
 |
6
opengps 2019-11-22 16:03:36 +08:00 via Android
多数挖矿程序是 445 端口漏洞,当然也有自己系统漏洞传入木马,让后下载启动挖矿的例子
建议重点排查下运维层面的入方向放行端口,网站接口的文件上传接口 |
 |
7
woyao 2019-11-22 16:05:04 +08:00
可能 top 已经被替换了。
|
 |
8
msg7086 2019-11-22 16:30:42 +08:00
如果 root 被攻破了,那整个系统就不安全了,建议重装。
|
 |
9
FS1P7dJz 2019-11-22 16:50:15 +08:00
我怀疑你们 22 都没改
直接被批量扫描注入 另外 top 之类当然可以被替换 高明的挖矿都不会让你服务器明显异常,只跑在低负载时间段 |
 |
10
zpfhbyx 2019-11-22 17:29:21 +08:00
jumpserver2 ..
|
|
11
Graves OP |
|
12
FS1P7dJz 2019-11-23 08:41:32 +08:00
如果你们没有专门的运维人员
那么用类似安全狗这样的傻瓜工具会比自己折腾好 另外,在对外服务上的漏洞可能性更大 |
 |
13
wzw 2019-11-23 09:33:10 +08:00 via iPhone
好奇,服务器能挖什么矿
|
Select Language