服务器被挂挖矿木马+改root密码,阿里云直接登录重新修改root的解决方案

最新推荐文章于 2025-11-23 05:14:55 发布
原创 最新推荐文章于 2025-11-23 05:14:55 发布 · 392 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #阿里云 #运维 #安全

lsattr /etc/shadow
如果输出包含 i(如 ----i---------),说明被锁定了。是的,就是这一种

太好了!你已经定位到问题根源了:

/etc/shadow 被设置了不可变(immutable)属性(i 标志),导致 userdelpasswdchmod 等任何修改操作都被系统拒绝。

这是 Linux 的一种安全机制(通过 chattr +i 启用),连 root 用户也无法修改或删除该文件,除非先移除这个属性。

🔓 解决方法:移除不可变属性

步骤 1:确保你是 真正的 root
# 如果你还没切换到 root,请先获取 root 权限
sudo -i
# 或
su -

验证:

id
# 必须显示 uid=0(root)

⚠️ 注意:即使有 i 属性,只有 root 才能用 chattr -i 移除它。普通用户(包括有 sudo 的用户)在未真正成为 root 前无法操作。

步骤 2:移除 /etc/shadow 的不可变属性
chattr -i /etc/shadow

✅ 成功执行后,不会有任何输出(静默成功)。

步骤 3:验证是否已解除
lsattr /etc/shadow

正常输出应为:

---------------- /etc/shadow

(不再有 i

步骤 4:现在可以安全删除用户了
userdel -r vendor

✅ 这次应该不会再报错了!

🛡️ 额外建议:检查其他关键文件是否也被锁定

有时安全脚本会批量锁定敏感文件,建议顺带检查:

lsattr /etc/passwd
lsattr /etc/group
lsattr /etc/gshadow

如果发现其他文件也有 i,同样用 chattr -i 解除:

chattr -i /etc/passwd
chattr -i /etc/group
# etc.

💡 但注意:不要随意给这些文件重新加 i,除非你明确知道自己在做什么。错误的 immutable 设置会导致系统无法创建/删除用户、改密码等,运维极其困难。

❓为什么会设置 i 属性?

常见原因:

  • 安全加固脚本(如等保合规要求)
  • 防篡改配置(防止恶意修改密码)
  • 误操作(有人执行了 chattr +i /etc/shadow 但忘了)

但在云服务器上,一般不建议长期锁定 /etc/shadow,因为它会阻碍正常的用户管理。

✅ 总结命令(一键执行)

sudo -i
chattr -i /etc/shadow
userdel -r vendor

完成后,你的 vendor 用户及其家目录将被彻底删除。

如果你后续还需要创建新用户、修改密码等操作,现在都可以正常进行了。
如有其他问题,欢迎继续提问!

阿里云服务器CPU100问题解决方案汇总(挖矿病毒crypto和蠕虫病毒pnscan入侵)
colorfulyan的博客
05-20 2732
木马攻击问题由来阐述 我买了三年的阿里云服务器(在阿里云官网买的),已经使用了一年多了,平时拿来搭建网站,有时也拿来学习技术和开发测试,一直使用很稳定。直到近期我服务器上安装了docker并部署了springboot+mysql+nginx项目,就被攻击了。但就在今年的5月14号,我的服务器木马攻击,然后被拿去挖矿了。我服务器的cpu持续维持在CPU100%. 后果是直接导致我网站无法正常请求和响应。而且Linux服务器root权限被窃取了。 黑客在服务器/root/.ssh目录下生成了连root用户
云主机遭遇挖矿病毒处理方法
qq_35573061的博客
05-06 1809
云主机遭遇挖矿病毒处置方法
阿里云服务器挖矿病毒解决方法
慌途L
04-01 4713
公司一直用的阿里云服务器进行生产环境的部署,但是最近某一台服务器上的CPU使用率一直高达95%以上,经过排查项目和代码、定时脚本等,都未发现问题根源,但是有一个文件的占用很高 排查:查看CPU占用率 在服务器上使用命令:top -c 查看进程运行的信息列表 再按下大写的:P 使进程按照CPU使用率排序 类似下图(这里只做演示,非实际情况): 然后可以看到 /usr/local/lib/.libs 占用cpu过高 再接着就是杀进程(这里要排除不是自己的项目所涉及到的) 但是每次杀完之后,CPU就降了下去
记录服务器中xmrig挖矿病毒解决方案
m0_59954214的博客
04-28 638
今天收到短信,说我的服务器涉及对外攻击行为,我赶紧上服务器看了一下然后就看到了这个发现这个xmrig占用cpu及其的高,然后就赶紧的进入它的安装目录将它删除并将它停止。
阿里云服务器挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.youkuaiyun.com/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
【转】记Redis配置不当导致服务器挖矿木马wnTKYg攻击的过程始末
weixin_42023666的博客
10-01 450
突然忆起了很久之前遇到的一个问题,记得当年自己还很淳朴稚嫩,只想安安静静的拿着需求文档撸代码。某天因为项目需求,需要用到Redis服务器,于是自己就只好屁颠屁颠的百度搜索教程,还真的就让咱弄出来了。可是第二天,阿里云服务器却报警了,老有提示说可能中了木马病毒。于是我登入linux服务器,使用 top -c 命令查看服务器内存使用情况,果然发现一个陌生的程序占用着我90%以上的内存资源...
记一次阿里云被植入挖矿木马的事件
weixin_33800463的博客
05-17 657
今天上午同事说我负责的那个模块不工作了,我登录了一下阿里云服务器排查一下,发现服务器运行很慢。(因为你敲的命令字符回传的很快,但是命令的响应时间长,所以是服务器卡了,而不是网络的问题) 使用top查看一下,发现: [root@xxx ~]# top %Cpu(s): 99 us, 0.8 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, ...
安全的redis设置,问题居然这么严重!(服务器挖矿病毒的解决方案
coderxz的博客
06-29 4095
记录一次解决挖矿病毒的过程(进程:susupdate,networkservice) 昨天晚上突然收到阿里云的警报提醒,服务器又被攻击,开始还没当回事,晚上测试的时候发现服务器变的异常卡顿。然后进入后台查看,发现CPU直接飙升到100%… 文章目录1.找出病毒进程2.根据进程号找到运行文件的位置3.删除病毒进程4.删除病毒文件4.1 文件无法正常删除如何解决?5.删除定时任务(重要!!)6.修改/root/.ssh/authorized_keys文件7.修复SElinux和wget、curl指令8.被.
阿里云服务器挖矿问题
ltstud的博客
10-19 9684
下午发现服务器CPU: 12618 root      20   0  680m  17m 1280 S 699.9  0.1  72:13.24 wnTKYg  网上收索解决办法copy如下: 下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率3
linux服务器挖矿程序xmrig入侵以及解决方案
weixin_46575363的博客
09-03 1万+
记一次Xmrig挖矿木马排查过程 2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器挖矿软件入侵了,马上打开电脑查看 控制台CPU占用 原因分析与解决方案 寻找原因 查找挖矿进程 top -H 从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名) 查找挖矿程序文件位置 root@xxx:/# find / -name ‘xmrig’ /root/.c3pool/xmrig --config=/root/.c3pool/config.json 我们尝试kill掉
记录linux遇到nanominer挖矿软件病毒以及暂时解决方案
liuskuif的博客
01-02 3037
小白遇到的nanominer挖矿软件病毒以及临时解决办法
记录一次服务器因打开Docker允许远程登陆而不添加任何防护而被挖矿的经历
Veeink的博客
12-06 1317
可疑编码命令 可疑发生时间:2024-12-06 23:04:56告警描述:检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。异常事件详情数据来源: 进程启动触发检测告警原因:该命令行存在高度可疑的编码特征。用户名:root命令行:chroot /mnt/ /bin/sh -c if!fi;进程路径:/bin/busybox进程ID:24609父进程文件路径:/usr/bin/runc父进程ID:24608进程链:fi;
Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
无限迭代中......
04-16 5416
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate、networkservice都在/etc/目录下 到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh...
服务器无故nginx异常关闭之kauditd0 kswapd0挖矿病毒 CPU占用200% 内存耗尽
最新发布
2509_94007132的博客
11-23 211
当我用 命令 kill -9 kaudiod0 杀死进程后,没过一会儿,进程又自动开起来了。发现8G的内存快被占用光了,而我们只开了一个开销不大的java服务,按道理1G就够了。网上搜索教程上是kswapd0,而此次我们服务器上是 kswapd00。,这可能意味着原始启动它的进程或会话已经结束,但该进程仍然在运行。的 systemd 服务单元中运行的,该服务单元是为用户。发现有个kauditd0进程占用了200% 的CPU。的会话 189 创建的。发现有各种德国 美国的IP,因此可以确认是中毒了。
从管道到共享内存:深入理解 Linux 进程间通信
m0_67804957的博客
11-19 917
本文深入探讨了Linux系统中的三种关键进程间通信(IPC)机制。首先介绍了匿名管道,它仅适用于有亲缘关系的进程间通信,具有单向性;随后讲解命名管道(FIFO),通过文件系统路径实现无关进程间的通信;最后重点分析了最高效的共享内存方式,它通过内存映射实现零拷贝通信。文章详细阐述了每种机制的原理、特点和使用场景,并提供了具体的代码实现示例,包括管道封装类和共享内存管理类。特别强调了共享内存的创建、接、使用和释放流程,以及其无保护机制带来的并发问题,为后续同步机制讨论奠定了基础。
使用 Spring AI 创建 MCP 服务器
dancuowang的博客
11-20 892
本文提供了使用 Spring AI 创建模型上下文协议服务器的分步指南,并阐述了使用 MCP 的优势。
DHCP 服务器
2202_75295990的博客
11-20 1502
DHCP服务器简介与配置 DHCP(动态主机配置协议)自动分配网络参数,解决IP地址管理问题。通信过程包括DISCOVER、OFFER、REQUEST和ACK四个阶段。配置DHCP服务器需安装dhcp软件包,修改/etc/dhcp/dhcpd.conf文件,定义子网范围、DNS服务器等参数。服务器支持动态IP分配和静态IP绑定,通过MAC地址指定固定IP。租约时间可配置,默认600秒,最大7200秒。注意同一网络应避免多个DHCP服务器,否则可能导致地址冲突。
流媒体存储服务器阵列缺盘64TB多媒体文件的修复方法
CHS实验室
11-21 967
摘要:本文介绍了一台64TB RAID5存储服务器因三块硬盘故障导致阵列崩溃后的多媒体文件修复过程。由于RAID5最多允许一块硬盘离线,而实际缺失两块硬盘,导致数据恢复困难。通过分析发现存储的是RTP推流的MP4格式文件,存在视频编码混乱、设备版本差异及音画同步三大难题。最终通过深入研究RTP协议和MP4文件结构,创新性地解决了音频修复和音画同步问题,采用"蚂蚁搬家"方式逐步修复了大量文件,取得了客户满意的效果。案例展示了复杂存储环境下数据恢复的技术挑战和解决方案
秒级创建鲲鹏工程进行原生开发
优快云高校俱乐部官方博客
11-21 397
秒级创建鲲鹏工程进行原生开发
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值