一次云服务器挖矿病毒处理日记荐

本服务器为个人搭建靶场使用,处置程只供参考,不作为真实生产环境的建议
今天突然收到条阿里云安全中心的短信,说发现有挖矿程序
上控制台看了下,嗯不错,热乎的还是
![image.png](https://s2.51cto.com/images/20210611/1623399227101496.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
ip宫颈癌早期症状我就不打码了,本来就是开放的sqli和dvwa靶场,中招应该很正常
顺势锻炼一下我这个新人的主服务机安全检查的能力,有什么不对的地方还请多指教
top一下,发现xmrig(门罗币)进程吃了98.7%的cpu
![image.png](https://s2.51cto.com/images/20210611/1623400879863755.png?x-oss-process=image/服务查找手机定位watermark,size_14,text云南地震_QD龚俊UxQ1RP5Y2a5a6i,命令方块指令代码大全color_FFFFFF,t_100,g_s银行卡被冻结怎么解除e,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
不着急结束进程
先检查下计划任务和42岁属什么生肖登录日志,看看有没有什么异常
lastb //查看登录失败的记录
![image.png](web前端开发https://s2.51cto.com/images/20210612/1623三国演义461631483423.png?x-oss-process=image/watermark,size_云服务登录14,t525心理健康节ext_QDUx对称加密体制Q1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW云绾宁墨晔5naGVpdGk=)
![image.png](httpsfile是什么意思翻译://s2.51cto.com/images/20210612/1623462042490094.png?x-oss-process=image/界面剂使用方法和用量watermark,size如果是_14,text_QDUxQ1RP5Y2a5a导航定位6i,color_FFFFFF,t_100,g_se,x服务员的礼貌礼仪培训内容_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
顺着pid找下路径
可以看到这个执行程序的绝对路径
![image.png](https://s2.51cto.com/images/20210611/1623401004735785.png?x-os云服务器租用价格多少钱一年s-process=image/wa环境描写termark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ对称加密算法的特点3poZW5naGVpdGk=)
切到这个路径下
![image.png](https://s2.51cto.com/images/20210611/1623401348884839.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FwebFFFFF,t_100,g_se,x_10,命令提示符怎么打开y_10,shadow_20,type_Zm界面FuZ3poZW5naGVpdGk=)
看下config.json
skypool.org天池矿池
![image.png](h包皮割了4年后悔了ttps://s2.51cto.co价格m/images/20210611/162340142074银行利率0255.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,云服务器免费t_100,g_se,x_1常用的八种教学方法0,y_10,shadow_20,type_ZmFuZ3poZW5naG推送调车法VpdGk=)
看下其他的这几个文件
一定是热爱学习的网安人来练习靶场了
![image.png](ht626课堂禁毒登录入口tps://s2.51cto.com/images/20210611/1623401513896232.png?x-oss-process=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y如果是这样_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
![image.png](帕萨特https://s2.51cto.com/images/20210611/1623401757555009.png?x-oss-process=image/数据漫游是什么意思watermark,size_14,text_QDUxQ1RP1524是苹果几5Y2a5a6i,color_FFFFFF,t_100,g_sweb浏览器e,x_10,y_10,shadow_20,推送通知在哪里关掉type_ZmFuZ3poZW5naGVpdGk=)
搂了一运行内存眼dvwa文件上传地方的源码,应该就是这样传上来的
![image.png](htlinux创建文件tps://s2.51cto.com/images/20210612/1623463034405262.png?x-oss-process=image/w对称atermark,s120平米花6万装修效果ize_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=)
最后把xmrig程界面剂是什么东西序和后门删掉就好了,然后再提升下密码强度