服务器成了minerd挖矿机解决办法
批量收到nagios告警 Info: WARNING - load average: 24.08, 16.98, 7.84,登陆服务器发现cpu使用率很高,是nagios用户下的minerd的进程导致的。
看来我们的服务器变成了别人的矿机,用来挖掘莱特币了。
查看minerd进程:
结束掉minerd进程 kill -9 20144
删除/tmp目录下面的minerd文件夹
做了这些操作之后,过了5分钟之后服务器负载恢复正常。这个时候我还没想到是nagios用户出问题了。
等过了一个多小时的时候,负载告警再次批量出现,查看进程
进程名称由minerd变成了隐蔽性更强的bash,用户还是这个用户。
结束掉进程,用kill命令杀死pid但是发现没有起到作用。这个时候我怀疑可能是中毒木马了。切换到nagios用户下,用crontab -l 才发现有个计划任务,没两秒钟执行一次/var/tmp下面的一些脚本,怪不得我杀掉是没有效果的啊,/var/tmp目录下面的文件有这些:
所以现在处理的步骤为:
1、su - nagios,然后crontab -e 清除里面的计划任务
2、ps -ef|grep nagios,杀死如上图中的bash,m32,m64等可疑进程
3、手动删除/var/tmp下面的可疑文件
4、删除用户nagios 主目录/home/nagios下面的文件。
5、更改naigos用户密码,不用初始密码。
做完这些操作之后,服务器再也没有因为负载过高而导致nagios报警了。
总结:初步可以判定是黑客扫描出了一些用户之后,然后暴力破解了nagios用户密码了。
