记一次服务器杀毒经历
前两天咸鱼买了个小主机做服务器使用
系统:ubuntu24+
硬件:J1900 + 8g + 120g
现象
某天上线服务器突然发现服务器CPU占用异常(过高)
通过 htop发现是 /tmp/./.PhQhSQx这个程序占用过高,网上查询这个程序并没有结果,推断是中病毒了
而且进入这个目录执行rm删除这个程序,并kill掉这个进程,两分钟后又一个类似的程序启动起来了
中毒原因
因为配置服务器需要,当时开启了root用户的远程登录,并且root用户的密码过于简单,导致服务器中了挖矿病毒
通过 查询用户登录日志 last -100
发现IP地址果然不是正常IP登录的
解决过程
首先,将root用户配置不可远程登录
通过查看tmp目录,发现目录下还有几个非常可疑的文件(通过查看都是近两天新增的文件),一个是.init文件,还有另一个类似名字的文件(忘记截图了),删除文件并杀死进程,等待两分钟,程序又自动起来了,并且那两个可以的文件又出现在文件夹里
继续找其他问题
在阿里云看到一篇云安全中心的文档
通过文章里的流程 查看定时任务,发现了可疑的定时任务(忘记截图了),crontab -r清除所有定时任务,删除上面说的可疑文件,并杀死进程,等待两分钟,发现程序又启动起来了,并且定时任务又被新增进去了
到这里已经在想重装系统了(折腾了好久,心痛)
通过网上一系列的搜索
https://blog.csdn.net/qingzhiwu0110/article/details/109861948
找到Linux可用的杀毒软件 clamav
安装并查杀/tmp目录(安装和使用流程网上自行搜索),仍然没有解决问题
于是想找到是哪种病毒,再想办法处理
将/tmp 下三个可疑的文件下载下来,交给https://www.virustotal.com/gui/进行分析(忘记截图),再结合定时任务中启动的程序目录,通过网上查询,推测是kintegrityd挖矿病毒
最后锁定在 /usr/systemd目录下,
在一个...和 systemd文件下发现可疑文件,删除所有可疑文件,杀死进程,修改root和其他用户的密码,重启服务器
问题解决!
总结
对于一个Linux小白来说,这属实太难了,可能看流程感觉非常简单,但是当时真的花了好长时间查资料,尝试不同方案。还好最后有惊无险。
其他
关于连接无线路由器网速慢的问题