收到服务器商短信通知 服务器中挖矿病毒
【阿里云】尊敬的xxxxxx@139.com:
经检测您的阿里云服务器i-wz9**************2tl存在挖矿活动。按国家发改委关于整治挖矿活动相关通知,
请您于2022-01-18 00时前完成挖矿问题整改,否则您的服务器将被关停,详情请查看邮件或阿里云站内消息通知。
若您有其他问题,可登陆阿里云官网在线咨询
下面是检查处理步骤:
登录服务器使用top命令,查看服务器CPU占用400% ,确实是有问题,有问题的进程是 kdevtmpfsi ;
挖矿病毒或者一些木马文件都是有会守护进程,所以需要从以下几个方面检查问题。守护进程,定时任务,病毒文件
1、查看计划任务 crontab -l
2、删除任务 crontab -r
3、查看异常进程 ps -aux | grep kdevtmpfsi 、 ps -aux | grep kinsing ,netstat -antp 查看端口监听
可以看到对应上 pid , 使用命令 kill -9 pid 删除。
4、通过 find / -name kdevtmpfsi find / -name kinsing ,删除查询到的文件。
5、再次使用top 命令检查 ,现在查看CPU 使用已经正常了。 现在先观察一下。
