顽固的挖矿程序

Linux , 评论

最近服务器上面出现一个挖矿程序。每每杀死,可一会儿又生成新的进程。

image-20210616164831517

查看进程信息,它自己已经把自己干掉了,所以很难找到程序的代码在哪。

1
ll /proc/25686

image-20210616165108237

这种不断杀死不断重启的情况,肯定是有什么触发再运行的。最经常的就是定时任务。开始我使用的是crontab -e,所以一直没有看到相关的定时任务。这里有一点需要特别注意, crontab -e只会显示自己的定时任务,而不会显示其他的。需要一个一个查找定时任务的文件,位于*/var/spool/cron* 下面。在www用户的定时任务中,我就发现了一个异常的定时任务。而且这个定时器在每次进程杀死后都会被改变。

1
2
3
4
5
6
# 第一次杀死后
* * * * * /data/qinrongqiang/admin/plugins/ckeditor/samples/old/toolbar/anve9ur
# 第二次杀死后
* * * * * /data/qinrongqiang/admin/plugins/ckeditor/plugins/scayt/dialogs/n5yek7tdt
# 第三次杀死后
* * * * * /data/qinrongqiang/admin/plugins/ckeditor/samples/old/assets/outputxhtml/qcf3gswyuy4

image-20210616170018631

image-20210616170305862

解决

直接将www用户的定时文件删除掉,暂时没有再次出现进程重启的情况。虽然删除定时器解决了,但是一个现象不容忽视那就是,其实我们的服务器上面有很多危险的代码,只是没有触发而已。这就像你包里放了一颗炸弹,只是没有引爆而已,说不定什么时候就被引爆了。

新增于2022-02-16

有时候会遇到一个问题,启动守护进程的不是定时器,而是具体的某个其他程序,这时可以使用这个命令来查看,会显示相关的应用程序。

1
systemctl status pid