https://tst.fannq.com/index.php?action=history&feed=atom&title=%E5%85%B3%E4%BA%8E%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%8C%96%E7%9F%BF%E5%A4%84%E7%90%86%E6%80%9D%E8%B7%AF
关于服务器挖矿处理思路 - 版本历史
2026-06-13T06:57:16Z
本wiki上该页面的版本历史
MediaWiki 1.41.1
https://tst.fannq.com/index.php?title=%E5%85%B3%E4%BA%8E%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%8C%96%E7%9F%BF%E5%A4%84%E7%90%86%E6%80%9D%E8%B7%AF&diff=454&oldid=prev
Root:创建页面,内容为“ <div> === 事件背景 === 起因是有开发人员报障,程序在发布后无法正常运行,一直处于在重启的状态。 一开始我以为是程序本身的问题,但在查看服务日志后,并未发现程序有任何错误。 在查看监控系统时,发现该服务器节点CPU 利用率达到了100%,难怪程序已经无法运行。并且,还发现有这种情况的节点不止一个,整个环境中有好几台服务器都…”
2024-12-09T07:40:31Z
<p>创建页面,内容为“ <div> === 事件背景 === 起因是有开发人员报障,程序在发布后无法正常运行,一直处于在重启的状态。 一开始我以为是程序本身的问题,但在查看服务日志后,并未发现程序有任何错误。 在查看监控系统时,发现该服务器节点CPU 利用率达到了100%,难怪程序已经无法运行。并且,还发现有这种情况的节点不止一个,整个环境中有好几台服务器都…”</p>
<p><b>新页面</b></p><div><br />
<div> <br />
=== 事件背景 ===<br />
<br />
起因是有开发人员报障,程序在发布后无法正常运行,一直处于在重启的状态。<br />
<br />
<br />
一开始我以为是程序本身的问题,但在查看服务日志后,并未发现程序有任何错误。<br />
<br />
<br />
在查看监控系统时,发现该服务器节点CPU 利用率达到了100%,难怪程序已经无法运行。并且,还发现有这种情况的节点不止一个,整个环境中有好几台服务器都是CPU 100%的情况<br />
<br />
<br />
[[Image:3d669630d1cef41ab5aa2506086a7fde.png]]<br />
<br />
<br />
=== 一、查看进程 ===<br />
<br />
使用Top命令查看进程 ,可以看到CPU的使用率已经跑满。但在进程列表中却未发现有异常进程 。除有个别业务程序占用CPU较多,但关掉后情况并未改善。<br />
<br />
<br />
[[Image:3132beac581ed605bb124db464433f5b.png]]<br />
<br />
<br />
=== 二、查看网络访问 ===<br />
<br />
此时,怀疑是机器被入侵了,因此通过下面命令查看网络连接的情况。<br />
<br />
<br />
<pre><code>netstat -an |grep ESTABLISHED<br />
</code><br />
</pre><br />
<br />
在查看几台机器后,发现有问题的机器都有一个外网连接,如下所示。<br />
<br />
<br />
<pre><code>tcp 0 0 10.12.15.7:39410 86.107.101.103:7643 ESTABLISHED<br />
<br />
虽然每台机器连接的外网IP地址不同,但端口号统一都是 7643,并且查询地址后发现都是国外地址。<br />
由于相关的服务器并没有国外的业务,因此可以确定被病毒入侵无疑了。<br />
</code><br />
</pre><br />
<br />
=== 三、查看启动项 ===<br />
<br />
使用下面命令查看开机启动项<br />
<br />
<br />
<pre><code>systemctl list-unit-files |grep enabled<br />
</code><br />
</pre><br />
<br />
在启动项中,发现有一个名为OOlmeN2R.service 的可疑服务,怀疑就是病毒。(注:该病毒在不同机器的服务名称皆不同,随机的。但特点是乱码,有大小写或数字。)<br />
<br />
<br />
<pre><code>auditd.service enabled<br />
autovt@.service enabled<br />
crond.service enabled<br />
docker.service enabled<br />
OOlmeN2R.service enabled <-------<br />
rhel-autorelabel.service enabled<br />
rhel-configure.service enabled<br />
rhel-dmesg.service enabled<br />
rhel-domainname.service enabled<br />
rhel-import-state.service enabled<br />
rhel-loadmodules.service enabled<br />
rhel-readonly.service enabled<br />
rsyslog.service enabled<br />
sshd.service enabled<br />
</code><br />
</pre><br />
<br />
通过下面命令,查看服务的启动状态以及启动文件的存放位置。<br />
<br />
<br />
<pre><code>systemctl status OOlmeN2R.service<br />
</code><br />
</pre><br />
<br />
接着,找到该启动文件,并查看文件内容。<br />
<br />
<br />
<pre><code>$ cat /usr/lib/systemd/system/OOlmeN2R.service<br />
[Unit]<br />
Description=service<br />
After=network.target<br />
<br />
[Service]<br />
Type=simple<br />
ExecStart=/bin/eWqAVtbn<br />
RemainAfterExit=yes<br />
Restart=always<br />
RestartSec=60s<br />
</code><br />
</pre><br />
<br />
可以看到,服务在启动时调用了一个/bin/eWqAVtbn 文件,这应该是就病毒的执行文件了。<br />
<br />
<br />
=== 四、清除病毒 ===<br />
<br />
在发现病毒文件后,现在我们可以开始来清除病毒了。<br />
<br />
<br />
停止病毒服务<br />
<br />
<br />
<pre><code>systemctl stop OOlmeN2R.service<br />
systemctl disable OOlmeN2R.service<br />
</code><br />
</pre><br />
<br />
删除相关病毒文件<br />
<br />
<br />
<pre><code>rm /bin/eWqAVtbn #删除执行文件<br />
rm /usr/lib/systemd/system/OOlmeN2R.service # 删除启动文件<br />
</code><br />
</pre><br />
<br />
删除完成后,重启服务器。<br />
<br />
<br />
完成上述步骤后,再次查看该网络链接,发现该链接已消失。同时,服务器CPU使用率恢复到正常状态 ,病毒被清除了。<br />
<br />
<br />
=== 总结 ===<br />
<br />
该病毒有可能是挖矿类的病毒,占用机器资源进行任务,因此导致CPU使用率暴涨。同时,病毒较为狡猾,具有以下特点:<br />
<br />
<br />
1.隐藏自己的进程,无法通过TOP命令来发现。<br><br />
2.加入开机启动项,保证重启服务器后依然会生效。<br><br />
3.文件名随机,在不同机器上都不一样,增大了排查难度。<br />
<br />
<br />
目前,通过本文档记录的方法,可以有效清除病毒。已知经过处理后的机器未再出现重复中毒情况。<br />
<br />
<br />
</div></div>
Root