发现 xmrig 在新服务器上运行,我将其删除就足够了吗?

发现 xmrig 在新服务器上运行,我将其删除就足够了吗?

我发现我的服务器的 CPU 使用率达到了 100%,因此我进行了一下调查,发现 Xmrig 正在运行。

这是 Vultr OpenLiteSpeed Django 服务器。我通过他们网站上的 cyberpanel 安装脚本(他们通过电子邮件向您发送)安装了 Cyber​​Panel,并且还通过 pip 安装了 Django 和其他一些软件包,因此我假设恶意软件来自 Cyber​​Panel。

我想知道在发生这一切之后服务器是否还会受到攻击?

  • rm -rf /root/c3pool

遵循这里的建议 -https://superuser.com/a/936976

  • systemctl stop [servicename]
  • systemctl disable [servicename]
  • rm /etc/systemd/system/[servicename]
  • rm /etc/systemd/system/[servicename] # and symlinks that might be related
  • rm /usr/lib/systemd/system/[servicename]
  • rm /usr/lib/systemd/system/[servicename] # and symlinks that might be related
  • systemctl daemon-reload
  • systemctl reset-failed

重新启动时,日志中没有显示有关尝试启动的服务的任何信息,因此看起来该服务不再存在于系统中。

然后,我通过 ssh 删除了密码验证,并在本地机器上生成了一个 gpg 密钥。

我还能做什么来确保系统安全?

相关内容