解决ECS服务器挖矿木马病毒

近日,新购了一台阿里云ECS(CentOS 7),可就在一天后,发现ssh无法登录

ssh: connect to host 120.79.60.225 port 22: Connection refused

一天前记得自己还登录过,可以确定不是因为端口问题,ping也ping不通,telnet也没用办法连接
于是登录阿里云控制台,重置密码后重启实例,再次登录,还是同样的连接被拒绝
通过控制台的远程连接,登录成功,检查系统情况:

top -i

这才发现了端倪:

如上图中所示,imWBR1这个进程占用了99.7%的CPU,难怪会无法连接ssh,ssh服务都无法起来好伐~

同时,在/tmp目录下发现疑似木马文件:

查了一下这个所谓的imWBR1:

现在比特币的价格涨得很高,所以现在有黑客专门制造挖矿木马来诱导网友,从而达到控制电脑上的显卡来挖掘比特币。为什么木马要控制电脑中的显卡呢?因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高。如果你是一位 3D 游戏玩家,正好中了比特币挖矿木马,就会发现在玩游戏时会非常卡顿。

不查不知道,一查还真吓一跳,这是一个挖矿木马病毒,通过调度crontab命令运行进程,消耗内存:

于是,删掉/tmp文件夹下的两个文件imWBR1、ddg.2021,通过kill命令关闭已启动的木马进程,终于得以解决问题。

Leave a Reply

Your email address will not be published. Required fields are marked *