dreamer2020的专栏

因为某些场景需要，公司内网机器不得不对外开放ssh访问服务，偷懒直接使用了花生壳。当然，自己搭个FRP是一样的。用了没多久，经常发现服务器负载过高，仔细排查，发现居然中挖矿病毒了。而且这个病毒还挺狡猾，修改了top等命令，不注意根本就发现不了。后面通过许多复杂工具排查追踪，最后发现其还是修改了定时任务及系统启动任务来隐藏的。发现病毒，还是要多检查常见的问题项，核心思路是通过ps/pstree等命令跟踪病毒进程是如何启动的。然后去清除其定时任务或者启动任务脚本，最后清除病毒进程。

问题描述接到阿里云报警邮件，说是一台ECS有恶意进程。查看阿里云的安全详情，发现如下情况：登录到服务器上检查/bin目录，发现该文件确实不对，大小变成的1.1M，类似的还有netstat。如下图：正常ubuntu系统下的ps才96K，netstat大小为117K，上述命令文件被恶意窜改了。此外，还发现启动脚本(/etc/rc1.d, /etc/rc2.d, /etc/rc3.d, /et...