2020-4-1-记一次服务器被黑客当做矿机的经历

事件起因

今天上午我想用Docker跑一下MySQL,我本能的使用free -h查看了一下本机内存信息,
结果发现只有100M+的可用内存。。顿时惊呆了。。。
因为前几天我跑MySQL的时候发现老是自动宕机,于是我就关闭了其它的类似Zookeeper的服务,结果发现内存还是不够这就很纳闷了。

发现问题

于是我就是用top 命令查看了一下,问题来了

这个bbb进程居然占用了120%的cpu,心想凉了鸭。。。
于是我根据PID查看这个bbb进程所在的目录cd /proc/3591
发现是在/var/tmp/bbb目录下面

完了之后,我kill掉这个进程,发现过一会又活过来了。。。简直令人发指。。。恐怖如斯,不愧是高手,佩服佩服

腾讯云警告提醒

因为我的服务器是腾讯云的,我就登进腾讯云控制台看了一下,发现已经存在好久了。。我之前没怎么注意,我就说为什么我内存为什么一直都是占用的那么高。心塞塞~鸭

点了一封邮件看了一下,发现这个木马文件是经过Docker入侵的???what?

尝试解决

由于这个木马程序是经过Docker入侵的,于是我就关闭了Docker,并且kill掉了这个进程,top命令查看了一会,这个bbb没有出现了,不过top最上面一直有curl的进程在执行

然后我查看系统的定时任务crontab -l,发现果然这几个定时任务都不是我的,这也应证了上面的curl命令频繁出现的原因

怎么办?删了这些定时任务呗,结果发现删不掉,提示权限不足,然后赋权限也报错,lsattr完文件也是提示没有权限。

凉了鸭

凉了鸭,我只是个弟弟,还好只是我个人的服务器,在线求饶。。求放过

大家一定要注意服务器安全,现在只能找到之前备份的镜像重新弄了,先把数据调出来吧。心塞塞。。

总结和吸取教训

以后我的服务器会设置安全组,禁用密码登录,端口不全部放开。。。
如果最后我发现有什么解决办法我会继续更新的。

-------------本文结束 感谢您的阅读-------------
湖南有北 wechat
扫码进群哦~~
你可以对我打赏哦