晚上凌晨两点多,突然收到阿里服务器短信,说异常登录,(这个服务器就是自己买来随便玩玩的),今天登录服务器控制台发现2:09的时候被一个源ip125....啥的登陆了。
问了一下知道这个服务器的,都说没有操作过,用finalshell链接 发现cup100%,妈的,本来就是买来玩玩的,什么安全之类的也没额外买。。。。
top了一下 发现了一个 xmring的进程
这TM是什么玩意!!!但是他是罪魁祸首,网上查说是什么挖矿的,奶了腿的,‘
lsof -p 1167019
发现 /root/.c3pool/xmring这个路径
没见过,而且修改时间短信告知异地登录时间差不多
删!!!!!!!!!!
kill -9 + 删除 cup一下降到了 12%左右
记录一下,免得下次遇到类的问题束手无策。
话说 能不能根据源ip 追踪到攻击者位置呢?
