记录一次服务器挖矿程序
· 2 min read
起因:发现服务器有/etc/system占用显卡:
查看/etc目录下有/etc/system与/etc/config.ini,
sudo readlink /proc/<进程号>/exe
stat /tmp/file3NOlAN
查看一下tmp的文件,nanominer是虚拟货币挖矿软件
查看一下tmp下的一场文件
sudo lsof +D /tmp
查看一下定时任务:
ls -lah /etc/cron.*
stat /etc/cron.hourly/0
发现在hourly这里有一个异常的0号任务
由于本机的chattr正常。使用chattr修改权限并删除/etc/system config.ini与定时任务
sudo chattr -ia /etc/cron.hourly/0
sudo rm -rf /etc/cron.hourly/0
sudo chattr -ia /etc/system
sudo rm /etc/system -rf
sudo chattr -ia /etc/config.ini
sudo rm /etc/config.ini -rf
9月3号更新
发现病毒卷土重来了,并且chattr也被修改
使用last查看登录情况
发现chatter被修改时间类似
查看版本并重新下载chattr
sudo wget http://archive.ubuntu.com/ubuntu/pool/main/e/e2fsprogs/e2fsprogs_1.45.5-2ubuntu1.1_amd64.deb
sudo dpkg-deb -x e2fsprogs_1.45.5-2ubuntu1.1_amd64.deb extracted2/
sudo extracted2/usr/bin/chattr -ia /bin/chattr
sudo extracted2/usr/bin/chattr -ia /bin/lsattr
sudo cp extracted2/usr/bin/chattr /bin/
sudo cp extracted2/usr/bin/lsattr /bin/