最近,在維護阿里云上的一臺服務(wù)器時你雌,我發(fā)現(xiàn)系統(tǒng)負(fù)載異常高器联,遠遠超過了正常運行的范圍。通過top命令查看婿崭,我發(fā)現(xiàn)一個名為Shib的進程一直占用了百分之300多CPU 資源拨拓。由于常在幣圈混的我就覺得這個進程名稱非常特別進入了查殺狀態(tài)
這篇文章將分享我如何發(fā)現(xiàn)這個惡意進程,并一步步解決問題氓栈,最終加強服務(wù)器安全以防止類似情況的再次發(fā)生渣磷。
1. 初步發(fā)現(xiàn)異常
檢查它的啟動命令時,我發(fā)現(xiàn)它連接到了一個外部的挖礦服務(wù)器授瘦。
ps aux | grep Shib
進程信息顯示:
root 29806 363 0.2 93520 20452 ? Sl Nov05 43453:14 ./Shib -a gr -o stratum+ssl://1123.某挖礦地址:443 -u SHIB:0x031e5116606050737eec2df246a0d99e6e57e6bb.kk#igf7-a271 -p x
通過對該進程的命令行分析醋界,我意識到它正與一個遠程挖礦服務(wù)器(1123.某挖礦地址:443)建立連接,利用服務(wù)器資源進行加密貨幣挖礦提完,顯然這是一種惡意軟件形纺。
2. 暫時性解決方案:防止黑客連接
在明確了服務(wù)器被感染之后,我的首要任務(wù)是防止黑客通過該進程進一步控制服務(wù)器徒欣。由于服務(wù)器的 SSH 服務(wù)是通過密碼驗證的逐样,我擔(dān)心在處理過程中黑客可能會再次利用密碼登錄到服務(wù)器。為了避免這一風(fēng)險,我立刻采取了以下措施:
通過阿里云的安全組功能脂新,臨時開啟了 IP 白名單挪捕,確保只有我信任的 IP 地址可以訪問服務(wù)器。這一步驟可以有效防止黑客繼續(xù)進行遠程連接争便。
3. 查殺惡意進程并清理文件
接下來级零,我開始著手清除Shib惡意進程及其相關(guān)文件。首先始花,我用kill命令強制停止了該進程:
kill -9 29806
然后妄讯,通過find命令在整個系統(tǒng)中查找該進程的可執(zhí)行文件:
find / -name "Shib" 2>/dev/null
找到文件路徑后孩锡,我將其刪除:
rm -f /root/Shib
此外酷宵,我還檢查了是否存在與此惡意軟件相關(guān)的定時任務(wù)或啟動項。通過查看crontab和/etc/init.d/等位置躬窜,我確保系統(tǒng)中沒有被設(shè)置為自啟動的惡意程序浇垦。
4. 更改 SSH 登錄方式
在排查過程中,我意識到繼續(xù)使用密碼登錄存在較大的安全隱患荣挨。為此男韧,我決定關(guān)閉密碼登錄,改用密鑰登錄 SSH默垄。
首先此虑,編輯 SSH 配置文件/etc/ssh/sshd_config,禁用 root 密碼登錄并強制使用密鑰認(rèn)證:
PermitRootLogin without-password
PasswordAuthentication no
大家有什么更靠譜的想法也可以留言大家相互學(xué)習(xí)
