服务器被攻击的处理过程

突然手机报警就响了，显示负载高，立即登录服务器查看，第一眼的就识别到了，服务器被挖矿了。安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响接下来是我整个解决思路。

如图：发现通过jenkins用户启动挖矿程序

本次是由于jenkins漏洞导致，这个漏洞是Jenkins cli带来的远程执行漏洞，会被利用自动执行一个挖矿程序，导致你的服务器占用cpu率高

通过netstat -anp找到挖矿程序连接的地址

1.1 过滤执行的脚本

通过服务器被挖矿，你kill上面的进程是不管用的，因为它这里有一个后台执行的脚本，脚本里面写的是一个死循环，你kill掉那个进程，休息五秒自己就起来了。之前我看过挖矿的脚本进行分析的。

这里附上挖矿的脚本，大家可以自己分析下。

1.2 检查定时任务

切记，这里只是查看的当前的定时任务，还要检查cat /etc/crontab配置文件，很多时候，它是添加到了配置文件

。

1.3检查rc.local

1.4检查history操作历史

1.5检查登录日志及系统日志

1.6 处理服务器被黑的几种思路

1.7 对系统进行安全防护

修改默认账号密码及端口如（sshd）

1.8 挖矿病毒的原理分析

作者：啊凯linux 链接：http://blog.51cto.com/kaile/2065900