本文详细介绍了如何检查和修复被黑客用于挖矿的服务器。通过一系列步骤,包括使用top指令查找异常进程,lsof指令定位可疑文件,netstat指令追踪网络活动,以及删除定时任务和异常文件,确保服务器安全。
之前机子被人攻击用来挖矿,究其原因,是因为系统用户的密码设置过于简单,导致被人盗取并挟持。
现在讲下怎么解决。
1、输入top指令。查看占用内存或者CPU较大的进程是哪个。
并且可以看到是使用哪个用户启动的。
在这里查看到是利用mysql用户启动进程,进程ID是29795
2、利用lsof指令,查看该进程究竟打开了哪些文件
记录打开的文件中,异常的目录及文件
3、Netstat -anp |grep 进程号 查找对外通讯的端口
4、查找musql用户的定时任务
Contrab -u mysql
5、切换到mysql,并删除定时任务contrab -l
6、杀死对应的进程 kill -9 29795
7、删除异常的目录及文件(来自第2步)
8、删除mysql连接的.ssh文件
9、修改mysql用户的密码
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
