wordpress系列教程 pdf,泉州网站seo,门户网站app开发,设计素材网站排版写在前面 23年11月的时候我写过一篇记录服务器被挖矿的情况#xff0c;点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。 而过了几个月没想到又被攻击#xff0c;这次比上次攻击手段要更高明点#xff0c;在这记录下吧。 发现过程 服务器用的是4090…写在前面 23年11月的时候我写过一篇记录服务器被挖矿的情况点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。 而过了几个月没想到又被攻击这次比上次攻击手段要更高明点在这记录下吧。 发现过程 服务器用的是4090i9-13900K就我一个人在用我也不跑什么大规模程序按理说平常风扇基本不会一直响。今天来到实验室后发现风扇在狂转过了一二十分钟后还是这样我就意识到可能出了问题。 首先我看了眼桌面上占用资源较多的几个进程没发现异常 而在上篇记录中bash进程都超过了90多只从这里看不出什么问题。 然后我又打开了资源管理器进一步查看 资源占用都不是很高到这里还是看不出问题 我又回想起之前我同学又要用这个服务器跑程序(没错又是他o(╥﹏╥)o)当时我就给了他一个公共用户为了防止像上次一样被挖矿我还特意改了下那个用户的密码。 但是由于他不在校园网范围内所以走的是一个公网ip登的服务器做了个端口映射。 我给他的用户是lab由于他可能也要装软件所以也给了sudo权限。 于是我查了下lab用户的进程 注意上面有几个可疑的地方 有一个Python程序还是从昨天开始运行的但这个用户最近并没有人使用有一个远程iproot10.201.0.50这就非常可可疑了又没人使用为什么会和一个远程ip有通信记录还是ssh鼠标放到Python那个进程显示如下 大致是python -a kawpow -o 127.0.0.1:4444 -u RMsn.lab --no-watchdog --no-strict-ssl 由于我也不是专门的运维人员也不懂这些参数是什么意思于是问了下ChatGPT 由于关闭了资源占用监控所以资源管理器看不出什么资源占用异常 至此确信了服务器确实又被攻击了 处理方案 最保险的方法还是重装系统但上面有很多资料所以先按如下过程处理下之后再多留意下 这里参照了这个文章的处理方法点我查看 首先是last命令查看最近登录的有没有异常ip 这里也看不出什么可能记录被删除了 然后看下命令的历史记录history 500还是看不出什么 接着看下有没有什么定时任务 这里明显能看出有异常记录进一步排查看下这个定时任务的内容 这个脚本的作用是检查系统中是否有名为 javra 的进程在运行如果没有则执行 $locatie/root.sh 脚本并将输出重定向到空设备然后将这个任务放入后台执行。 而javara就是开头资源管理器中那个挖矿脚本所以问题就在这里 去图中的/var/tmp/.log/.local目录看下有什么 这里我忘了截图了该目录下放的就是javara还有其他脚本 把该目录下的文件都删除 之后在/var/tmp/.log还看到了lab的其他文件为了以防万一对所有以.开头的目录都执行了删除操作find . -maxdepth 1 -type d -name .?* -exec rm -rf {} \; 之后使用crontab -e进入定时任务把3个定时任务给删了 使用passwd lab更改用户密码 使用sudo deluser lab sudo命令删除lab用户的sudo权限 检查下.ssh 目录下 authorized_keys文件为了以防万一我将这个文件清空了 到这里针对这次被攻击的处理便完成了服务器的风扇也不再一直狂转了 之后如果还有什么问题会再次记录的