前两天收到信息,服务器疑似被人异地登录并植入病毒

上去一看cpu占用100%,估计是被人挖矿了

啥也不懂,上网查解决办法

了解这几步,教你处理Linux挖矿木马 - 知乎 (zhihu.com)

使用top查看情况,可以看见zyh用户占用大量资源,这是我之前创建上传博客资源的用户

image-20230820230030521

image-20230820230112690

根据腾讯云的反馈信息看到了这样一个文件夹。其中DOTA3就是木马的压缩文件

image-20230820230633801

.rsync中还有a b c 三个文件夹,疑似是木马的三个操作,可以盗用我的系统账户和启用攻击程序

b中的run程序里是64位编码格式的代码

image-20230820230714421

具体代码没太看明白,最后在tmp文件夹下找到了这个文本,里面存放的是入侵者爆破出来我的用户和密码

image-20230820230650948

根据网上的说明尝试删除木马文件,但还需要删除zyh这个用户和用户信息。

由于我的博客都依赖于这个用户,所以想着直接删除木马后改密码,但尝试失败,网站信息页打不开了。

最后还是用最原始的重装解决问题吧,以后再遇到在尝试别的方法。