阿里云服务器被恶意软件-挖矿程序攻击(Alibaba cloud server is attacked by malware mining program)

阿里云服务器CPU总是会飙升, 但是top命令也找不到占用大量CPU的线程。先查看定时任务,挖矿程序肯定会挂定时任务防止线程被杀死

表示 按修改时间 倒序 列出当前工作目录下的所有文件的详细信息
只显示当前文件夹

-lrt 
-d
ls -lrt -d /etc/cron*

列出目前的时程表

crontab -l

*/30 * * * * sh /etc/newinit.sh >/dev/null 2>&1

删除脚本文件

newinit.sh
# 查看文件属性
lsattr /etc/newinit.sh 

# 修改文件属性
chattr -ia /etc/newinit.sh 

# 删除文件
rm -rf /etc/newinit.sh 

删除定时任务

crontab -r 

# 如果没有权限 先修改文件属性
chattr -R -ia /var/spool/cron 
chattr -ia /etc/crontab 
chattr -R -ia /etc/cron.d

此外 也可能被修改 删除即可

/root/.ssh/authorized_keys 
————————

Alibaba cloud server CPU always soars, but the top command can’t find threads that occupy a lot of CPU. Check the scheduled task first. The mining program will certainly hang the scheduled task to prevent the thread from being killed

Indicates that the details of all files in the current working directory are listed in reverse order of modification time
Show only the current folder

-lrt 
-d
ls -lrt -d /etc/cron*

List the current schedule

crontab -l

*/30 * * * * sh /etc/newinit.sh >/dev/null 2>&1

Delete script file

newinit.sh
# 查看文件属性
lsattr /etc/newinit.sh 

# 修改文件属性
chattr -ia /etc/newinit.sh 

# 删除文件
rm -rf /etc/newinit.sh 

Delete scheduled task

crontab -r 

# 如果没有权限 先修改文件属性
chattr -R -ia /var/spool/cron 
chattr -ia /etc/crontab 
chattr -R -ia /etc/cron.d

In addition, it may be modified or deleted

/root/.ssh/authorized_keys