18号的时候,我在服务器上用宝塔装了个pgsql,然后开了个数据库,允许所有人密码访问,然后当天晚上就收到恶意文件报警,我以为误报没当回事,直接在手机上ssh把文件删了,然后就没管了,知道今天收到了疑似挖矿通知,我一看CPU100%,就意识中招了。
我把进程杀了,也把pgsql给卸载了,5432端口关了,并且root密码写改了,公钥也删了。挖矿脚本也删了,还有挖矿脚本的启动程序,但过了一段时间,20分钟左右吧。CPU又100%了,那个挖矿脚本又出现了,怎么彻底清掉 
2 个赞
重新安装镜像?
数据少就重装系统吧,哈哈哈哈,有点难清理
重做系统保平安
建议重装
重新安装吧~
我也有类似的情况,但是我是 温度一直80-90,占用很低
有没有不重装的方法,把挖矿脚本清掉
g_face:
问ai最好,前天被人家爆破进来了,直接发ai搞了十几分钟就好了,应该是有定时脚本没删掉
重装系统吧佬~就当吃一堑长一智了
问ai挨个删下
你应该是有些定时脚本没删全
基本只能重装了。内部命令可能已经被换了。
如果请求矿池的地址或者端口固定,可以用iptables drop掉和这个ip相关的所有流量。
可以参考
云主机重做。
定时任务删一下
只能说可能是挖矿脚本作用,但不一定是唯一原因。建议查查CPU占用情况。建议用top命令检查。根据进程名,你可能会有一个初步判断。如果确认是挖矿病毒,果断断网,然后进行深入分析和清理。
资料不多的话 还是建议重装吧
Linuxe服务器下的病毒都很骚,把你命令都换了,top也给你换掉,修改文件只读属性也给你换掉,很让人崩溃。
一般入侵后都是免密登陆进来的. /root/.ssh/authorized_keys
如果删不掉 lsattr 和 chattr用不了, 你要chmod 改权限发现报错 可能部分命令已经被篡改了.
这时候要优先恢复命令 下载so文件替换恢复命令
删除这个文件看能不能删除, 然后再清理脚本
肉鸡脚本一般进程看不到的 就是 ps -ef top 啥的
检查一下所有用户下的 crontab
可以下载linux杀毒软件查杀试试
我之前中毒都是用 ClamAV 清理的(非主要).
开放端口务必小心 特别是docker api
因为公网ip段都是知道的, 他们的脚本就是定时扫描 公网ip 可以入侵的端口
可怕我也遇到过。束手无策。最后直接换服