1.阿里云服务器收到信息有异常脚本,去查看发现被当肉鸡
2.查看进程文件,发现该执行文件,(指向的是/var/tmp/的可执行文件)(后续我在自己虚拟机上跑了一下,把该文件删除是这样的)
(后续我在自己虚拟机上跑了一下,把该文件删除是这样的)(云服务上后边没有deleted)不懂为啥
查看计划任务,没有发现异常任务,查看计划任务日志,无异常,后续又进行一些其他的排查(可能是我太菜,没发现什么异常)
3.杀死进程后,查看进程发现:如下图
该路径下无此sh文件,且这两个进程结束后,图一中的进程再次出现,
4.后续一直排查,找到了一些异常软链接,后边发现了链接指向目录/etc/alternatives
天真以为那个进程创建,情急之下,整个目录删除,
杀死那个进程,后来那个进程也没启动了,
网上查了一下,发现那个目录并非一场目录,后续 担心出现其他问题,选择重装系统
问题:
1.此进程杀死后,又再次运行是为什么,我找不到守护进程
2.找不到此挖矿的路径,以及做了些什么,我知道肯定会留下痕迹,但是我没找到,登录记录和历史操作记录,各种欸之查看没找到,哪个时间段的日志都在,完全不知道,是怎么进来,以及怎么操作的
另外,那个进程文件被我下载下来了
用的那个curl,只有一个可执行文件,有想要的可私我
因为当时比较急,没仔细找,只想着把这个毒给拔了,现在回想起来,有好多细节没注意到,所以想问问大家可否遇到过这种,麻烦给我解个惑(要不然饭都吃不下)
