最近服务器被植入病毒了,现象是ssh经常卡死,于是我使用vnc登录至服务器

1. 发现原因

我使用top后,发现某个进程占用非常高cpu,在100%以上,而且只持续了几十秒,在这期间,ssh就卡死了

2. 分析

我对该进程进行了分析,发现是/bin/qgjrlxsuzx,看了下是个二进制文件,因此我备份了相关文件,并删除该可执行文件及相应的开启启动配置、最后kill相应进程

3. 重新出现

本以为问题解决了,可一段时间后,发现ssh还是卡死,于是又进行了分析,发现又有另一个名称rzacovihtr的可执行文件,我看了下文件创建时间,发现是刚创建的,于是我kill进程,发现又产生了另外一个

于是我初步得出,应该有一个幕后老大,可如何找出呢?

4. 发现源头

竟然会自动产生子进程,那应该也有自己的进程,于是我通过top、ps不断地观察可疑进程,最终我发现wipefs进程,并且查了下资料,发现原来是挖矿程序,于是我备份了文件并删除可执行文件/bin/wipefs

5. 结束

通过一段时间观察,cpu恢复了正常,而且ssh没有再断开,因此该问题也告一段落。

6. 遗憾

虽然搞清楚了病毒,但对如何植入还是不清楚,还留有小小遗憾 …