解决宝塔面板CPU占满100%,负载100%网站缓慢等问题(挖矿病毒入侵)

本文主要是介绍解决宝塔面板CPU占满100%,负载100%网站缓慢等问题(挖矿病毒入侵),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

木马攻击问题由来阐述

我买了三年的阿里云服务器(在阿里云官网买的),已经使用了一年多了,平时拿来搭建网站,有时也拿来学习技术和开发测试,一直使用很稳定。直到近期我服务器上安装了docker并部署了springboot+mysql+nginx项目,就被攻击了。但就在今年的5月14号,我的服务器被木马攻击,然后被拿去挖矿了。我服务器的cpu持续维持在CPU100%. 后果是直接导致我网站无法正常请求和响应。而且Linux服务器的root权限被窃取了。
黑客在服务器/root/.ssh目录下生成了连root用户也无法删除的ssh密钥文件(本质就是利用chattr命令加了特殊权限),可以免密码登录。这样的后果就是,我的服务器的控制权被别人控制了。是可忍熟不可忍,必须解决。

我是第一次遇见这种恶心的问题,也不知道黑客们是怎么盯上我的服务器的,也许我是无目的的攻击受害者。作为建站老鸟以及程序员的我,硬着头皮也得解决。因为我是搞前端方面的,所以Linux方面的技能都是我业余时间学习。所以这次问题的解决经过还是挺考验学习能力的。

大致过程分为两大步:

  • 第一步:清除木马后门(ssh免登录密钥)
  • 第二步:杀死木马进程以及清除木马文件(挖矿病毒crypto和蠕虫病毒pnscan)

我用到的工具

  • 阿里云服务器:阿里云服务器,国内第一大云品牌,当初是用它来入门学习编程技术的。当然用到它了,要不然中病毒的受害者是谁呢。当然不是说买了阿里云的服务器才会中毒,因为病毒中毒是因为你Linux安全意识和使用不当造成的。这次我是因为docker使用或者纯碎因为ssh暴力破解有关系。所以你换其它家的云服务器,比如腾讯云服务器,也一样存在被攻击的可能。事后,我们必须去学点基础的安全防护技巧。
  • 宝塔面板:宝塔面板是很重要的工具,这里就不多说了,入门和使用教程汇总参考:宝塔面板安装和入门教程汇总
  • FinalShell客户端:下载地址 该客户端可以安装之后更新到最新版本。
  • chattr源码文件一份(C程序):需要编译chattr文件,破解病毒的chattr附加的特殊属性i 。我再文章中已经给了源码地址,自己去下载使用。Linux系统可以敲命令行去编译c程序源码文件。

第一步:删除免登录ssh密钥文件(木马后门)

1、先下载C文件(https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c), 上传到服务器的任意目录

2、编译,cc chattr,得到文件a.out,把名字改成chattr
这一步出现了一个错误:collect2: fatal error: cannot find 'ld' compilation terminated.
解决方法是(两条命令):

 yum -y install binutils ln -s /usr/bin/ld.gold /usr/bin/x86_64-nptl-linux-gnu-ld.gold

参考资料:运行gcc出现collect2: fatal error: cannot find ‘ld’

3、运行编译好的文件,把被篡改的文件去掉不可修改的隐藏属性,./chattr -ia /usr/bin/chattr 编译文件运行命令是:"./chattr" 使用指令 ./a.out 执行该程序
参考资料:Linux环境编译运行C语言程序

4、再把编译好的文件,放回/usr/bin/。这一步我没有选择覆盖chattr文件,我选择的是先删除rm -f chattr 文件,然后执行安装命令:yum install e2fsprogs 安装chattr和lsattr. 然后就可以正常的修改和删除/root/.ssh/目录下的密钥文件了。干掉黑客的root权限。

chattr文件目录: /usr/bin/chattr
ssh密钥文件目录:/root/.ssh
编译chattr文件源码目录:/root (这个目录可以随意选)

编译安装chattr之后,就可以正常使用chattr命令了

#查看文件属性
lsattr authorized_keys
# 去除a属性
chattr -a  authorized_keys
# 去除i属性
chattr -i  authorized_keys
# 去除e属性
chattr -e  authorized_keys

没有修改特殊属性的文件 权限是600 。root用户无法删除和修改。通过上面的chattr命令一一去除特殊属性,就可以正常修改和删除密钥文件了。

密钥文件里面的内容已经被我清空了。这两个文件终于可以修改了。

参考教程:

  • chattr命令被篡改 主要是这篇文章的启发
  • lsattr 命令详解
  • 详解Linux chattr 命令,超越权限任性修改

第二步:杀病毒crypto和pnscan病毒进程

查找CPU100耗尽的原因

挖矿病毒crypto和pnscan 入侵linux主机,留有/root/.ssh/密钥免登录后门。

第1步:清除root免登录权限。这一步我们已经做好了。

第2步:删除挖矿病毒crypto和pnscan文件。

crypto文件目录位置:/urs/share/
pnscan文件目录位置:/usr/local/bin

如果木马文件不在这两个位置,可以使用命令来查找:
whereis pnscanwhereis crypto这命令会显示文件所在的Linux路径

这两个病毒相关文件,可以直接用rm -f 文件名 直接删除干净。它们没有加chattr特殊权限。

我把这几个要删除的病毒文件全部下载到了window电脑上。就是为了截图给大家,要删除哪些文件。注意pnscan病毒目录和crypto病毒目录不在一块,我是下载到window才统一放到一个目录的。

我在自己的阿里云服务器上删除了这两个病毒相关文件(crypto是5个文件,pnscan是1个文件),这一步就算完成了。

第3步:杀crypto和pnscan两个进程,cpu就会降下来。而不是百分百耗尽。

用 top 命令查出cpu占用高的进程。很明显能发现是crypto和pnscan两个进程cpu占用高。
crypto进程可能会伪装其它名字,需要仔细发现。pnsan进程有可能会杀不死,需要先删除两个病毒文件,才去杀病毒进程,效果会更好。

# Linux执行top查询cpu进程占用情况
top

小技巧:这次我没有用finalshell来操作这些命令,因为cpu占用100的情况下,写命令行也很卡,而且无法看到Linux目录视图。所以我用宝塔面板的终端来写ssh命令,主要是能看到Linux文件目录视图。

通过top命令可以清晰的查看到病毒进程的高cpu占用率。记住它们的进程pid

# 杀死两个病毒进程,服务器CPU恢复正常。这是关键的一步操作
sudo kill -9 27220 24131

你运行上面的kill命令也会出现kill没有权限而运行失败的错误提示。毫无疑问,linux系统的关键命令都被加了chattr特殊属性,需要去除它的i属性,去除之后,才执行上面的杀病毒进程命令。杀完病毒进程之后,再用top命令去监控,发现没有了cpu高占用率的进程之后,可以去观察宝塔面板和其它FinalShell客户端,会显示cpu运行正常的。

# 找到kill路径
whereis kill
# lsattr查看特殊属性
lsattr /usr/bin/kill
# chattr去除附加特殊属性 i
chattr -i /usr/bin/kill
# chmod赋权限
chmod 755 /usr/bin/kill
# 现在你就可以正常去执行kill命令了。

宝塔面板ssh命令终端展示:

[root@iZuf6bm7y86rsciyk4lvriZ ~]# lsattr /bin/kill
----i--------e-- /bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# chattr -i /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# lsattr /usr/bin/kill
-------------e-- /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# chmod +x /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# lsattr /usr/bin/kill
-------------e-- /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# sudo ls -l /bin/kill
---xr-xr-x. 1 root root 33608 Apr  1  2020 /bin/kill

FinalShell终端命令展示:

[root@iZuf6bm7y86rsciyk4lvriZ ~]# whereis kill
kill: /usr/bin/kill /usr/share/man/man1/kill.1.gz
[root@iZuf6bm7y86rsciyk4lvriZ ~]# lattr /usr/bin/kill
-bash: lattr: 未找到命令
[root@iZuf6bm7y86rsciyk4lvriZ ~]# lsattr /usr/bin/kill
-------------e-- /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# chattr -i /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# chmod 755 /usr/bin/kill
[root@iZuf6bm7y86rsciyk4lvriZ ~]# 

其中用到的命令:netstat 也会遇到和kill命令类似的问题。解决方法类似:

[root@iz8vb8rrw7wiwqtau1dp8jz bin]# netstat -nltp
-bash: /usr/bin/netstat: Permission denied
[root@iz8vb8rrw7wiwqtau1dp8jz bin]# chmod 755 /usr/bin/netstat
chmod: changing permissions of ‘/usr/bin/netstat’: Operation not permitted
[root@iz8vb8rrw7wiwqtau1dp8jz bin]# lsattr /usr/bin/netstat
-------i------e-- /usr/bin/netstat
[root@iz8vb8rrw7wiwqtau1dp8jz bin]# chattr -i /usr/bin/netstat
[root@iz8vb8rrw7wiwqtau1dp8jz bin]# chmod 755 /usr/bin/netstat# 用 netstat命令查看端口情况。netstat命令附带属性可以查资料
[root@iz8vb8rrw7wiwqtau1dp8jz bin]# netstat -nltp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:6379            0.0.0.0:*               LISTEN      
[root@iz8vb8rrw7wiwqtau1dp8jz bin]# 

在杀了病毒进程之后,CPU终于恢复到正常水平,终于成功了,好开心啊,因为过程还是比较曲折的。

FinalShell客户端显示cpu正常。

宝塔面板显示cpu运行正常。

总结:经过这次安全事件,我应该去学点基础的安全防护技巧,比如,不能用root用户操作Linux系统,不能用账户和密码登录账户,禁用它,然后用ssh密钥登录。比如使用相关的安全工具去防护它。

参考教程:

  • 记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
  • 清除linux挖矿木马[crypto]的过程
  • netstat 权限问题

原文出处:https://www.yundashi168.com/272.html

这篇关于解决宝塔面板CPU占满100%,负载100%网站缓慢等问题(挖矿病毒入侵)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/393075

相关文章

好题——hdu2522(小数问题:求1/n的第一个循环节)

好喜欢这题,第一次做小数问题,一开始真心没思路,然后参考了网上的一些资料。 知识点***********************************无限不循环小数即无理数,不能写作两整数之比*****************************(一开始没想到,小学没学好) 此题1/n肯定是一个有限循环小数,了解这些后就能做此题了。 按照除法的机制,用一个函数表示出来就可以了,代码如下

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

如何解决线上平台抽佣高 线下门店客流少的痛点!

目前,许多传统零售店铺正遭遇客源下降的难题。尽管广告推广能带来一定的客流,但其费用昂贵。鉴于此,众多零售商纷纷选择加入像美团、饿了么和抖音这样的大型在线平台,但这些平台的高佣金率导致了利润的大幅缩水。在这样的市场环境下,商家之间的合作网络逐渐成为一种有效的解决方案,通过资源和客户基础的共享,实现共同的利益增长。 以最近在上海兴起的一个跨行业合作平台为例,该平台融合了环保消费积分系统,在短

购买磨轮平衡机时应该注意什么问题和技巧

在购买磨轮平衡机时,您应该注意以下几个关键点: 平衡精度 平衡精度是衡量平衡机性能的核心指标,直接影响到不平衡量的检测与校准的准确性,从而决定磨轮的振动和噪声水平。高精度的平衡机能显著减少振动和噪声,提高磨削加工的精度。 转速范围 宽广的转速范围意味着平衡机能够处理更多种类的磨轮,适应不同的工作条件和规格要求。 振动监测能力 振动监测能力是评估平衡机性能的重要因素。通过传感器实时监

缓存雪崩问题

缓存雪崩是缓存中大量key失效后当高并发到来时导致大量请求到数据库,瞬间耗尽数据库资源,导致数据库无法使用。 解决方案: 1、使用锁进行控制 2、对同一类型信息的key设置不同的过期时间 3、缓存预热 1. 什么是缓存雪崩 缓存雪崩是指在短时间内,大量缓存数据同时失效,导致所有请求直接涌向数据库,瞬间增加数据库的负载压力,可能导致数据库性能下降甚至崩溃。这种情况往往发生在缓存中大量 k

6.1.数据结构-c/c++堆详解下篇(堆排序,TopK问题)

上篇:6.1.数据结构-c/c++模拟实现堆上篇(向下,上调整算法,建堆,增删数据)-CSDN博客 本章重点 1.使用堆来完成堆排序 2.使用堆解决TopK问题 目录 一.堆排序 1.1 思路 1.2 代码 1.3 简单测试 二.TopK问题 2.1 思路(求最小): 2.2 C语言代码(手写堆) 2.3 C++代码(使用优先级队列 priority_queue)

pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定

在 Python 开发中,管理依赖关系是一项繁琐且容易出错的任务。手动更新依赖版本、处理冲突、确保一致性等等,都可能让开发者感到头疼。而 pip-tools 为开发者提供了一套稳定可靠的解决方案。 什么是 pip-tools? pip-tools 是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。它主要包含两个核心工具:pip-compile 和 pip

【VUE】跨域问题的概念,以及解决方法。

目录 1.跨域概念 2.解决方法 2.1 配置网络请求代理 2.2 使用@CrossOrigin 注解 2.3 通过配置文件实现跨域 2.4 添加 CorsWebFilter 来解决跨域问题 1.跨域概念 跨域问题是由于浏览器实施了同源策略,该策略要求请求的域名、协议和端口必须与提供资源的服务相同。如果不相同,则需要服务器显式地允许这种跨域请求。一般在springbo

题目1254:N皇后问题

题目1254:N皇后问题 时间限制:1 秒 内存限制:128 兆 特殊判题:否 题目描述: N皇后问题,即在N*N的方格棋盘内放置了N个皇后,使得它们不相互攻击(即任意2个皇后不允许处在同一排,同一列,也不允许处在同一斜线上。因为皇后可以直走,横走和斜走如下图)。 你的任务是,对于给定的N,求出有多少种合法的放置方法。输出N皇后问题所有不同的摆放情况个数。 输入

vscode中文乱码问题,注释,终端,调试乱码一劳永逸版

忘记咋回事突然出现了乱码问题,很多方法都试了,注释乱码解决了,终端又乱码,调试窗口也乱码,最后经过本人不懈努力,终于全部解决了,现在分享给大家我的方法。 乱码的原因是各个地方用的编码格式不统一,所以把他们设成统一的utf8. 1.电脑的编码格式 开始-设置-时间和语言-语言和区域 管理语言设置-更改系统区域设置-勾选Bata版:使用utf8-确定-然后按指示重启 2.vscode