- 近日发现多个小伙伴的服务器,被挖矿程序攻击。服务器内被注入了大量文件和挖矿程序,导致服务器CPU占用极高、导致卡顿和死机。高占用时,甚至登不进去宝塔面板,无法处理。
- 黑客使用的是遍历 攻击,如果你没有防护,被攻击可能只是时间问题。
- 所以,在玩机器人教程的同学,一定要进行安全设置。
-
如果你使用的是云服务器,当你被攻击时,你大概率会收到这样的短信。
kswapd0 与挖矿木马有关,这是一种在Linux服务器上运行的恶意软件,它利用服务器资源进行加密货币挖矿,通常会导致CPU使用率飙升。这种木马可能会创建多个进程和定时任务(cron jobs)来保持其在系统上的持久性,并且可能会监听某些端口以接收远程指令或传输挖矿所得。在某些情况下,它还可能包含SSH爆破攻击程序,用于尝试破解其他服务器的SSH密码。
一、首先进行自查,你有没有被攻击:
1.查看cpu占用,如果占用很高,那大概率已经是被攻击了。
宝塔首页:
2、终端输入以下命令。
top
输入后会自动显示cpu占用排序,查看是否有kswapd0进程,如图。
3、去根目录下,查看这个文件路径,是否存在kswapd0文件
tmp/.X291-unix/.rsync/a/kswapd0
如果都没有发现,那么你就还没有被攻击。根据下放教程设置密码即可。如果有发现,那么你需要清理挖矿程序,并根据下方教程设置密码。
二、如果没有被攻击
1、设置服务器强密码,不要设置简单密码。
2、修改MySQL密码(如果你有安装的话)
· 1、停止MySQL服务(根据您的操作系统,命令可能有所不同):
sudo systemctl stop mysqld
· 2、以无验证模式启动MySQL服务
sudo mysqld\_safe --skip-grant-tables &
· 3、登录到MySQL:
mysql -u root
· 4、选择mysql数据库,然后刷新权限(把代码中,需要改成新密码的地方,改了)
FLUSH PRIVILEGES; USE mysql; UPDATE user SET authentication\_string=PASSWORD('这里填写你的新密码') WHERE User='root' AND Host='localhost'; FLUSH PRIVILEGES;
· 5、退出MySQL:
quit
· 6、重启MySQL服务:
sudo systemctl start mysqld
· 7、输入一下代码,然后使用新密码登录。
mysql -u root -p
8、登录上既完成,下图是完整的操作示例。
· 注意(如果你使用了FastGPT,需要去更新一下配置文件中的密码。如图
三、如果已经被攻击
1、终端输入以下命令:
top
2、 记住此时kswapd0的PID , 也就是第一列,在这里是3092
然后按ctrl+c 退出top命令
3、输入以下命令,(3092 替换成你的 PID)
Kill -9 3092
此时刷新宝塔或者top命令再查看,会发现cpu占用恢复正常
4、查看恶意程序创建的定时任务,输入以下命令查看
crontab -l
如果你本身没有创建定时任务的话,那么输出的定时任务就全部是恶意程序创建的
五个定时任务都是挖矿程序植入的,有两个是服务器启动就会自动运行的
5、它们都来自两个文件夹下,所以运行以下命令删除:
rm -rf /tmp/.X291-unix/.rsync/*
rm -rf /root/.configrc5/*
这个时候,挖矿的程序、以及文件、还有自启任务都被清除掉了,就要检查是否被恶意程序留有后门,通常都是使用公钥免密的方式登录的root账户
6、使用以下命令直接删除公钥:
rm -rf ~/.ssh/authorized\_keys
四、最后
1、通常这种挖矿程序都是通过 程序遍历 redis /mysql/mongo 等数据库/中间件来进行注入恶意程序的,所以建议在设置密码(包括服务器root用户)的时候,不要设置弱口令,密码最好大小写、数字都有。
2、服务器尽量避免直接使用root用户登录,可以创建一个新用户,用来登录,需要root权限时,使用sudo临时获取
3、求个关注 /狗头