缘由
2020年12月份,用自己用户账号登录,发现实验室一个小型服务器在运行xmrig程序,google了一下疑似挖矿相关的软件。可能服务器被入侵了,最后尝试用root账号登录,结果发现别人修改了... 唯一的办法先关机了
image.png
需要修改一下root密码了,下面记录一下修改过程,感谢薄大佬指导。
参考:
在Linux下修改和重置root密码的方法(超简单)Linux脚本之家】
[原创]一次挖矿入侵处理记录(2021.01.27)
centos7修改root用户密码
操作:
1.服务器连接显示器
(有些服务器比较老,只有DVI接口,确保你的显示器有这个接口)
DVI
VGA
2.重启电脑
开机过程中,快速看键盘上下方向键,暂停引导程序;敲击e键,在LANG=en_US.UTF-8 后面加上 init=/bin/sh
image.png
3.Ctrl+X 进入引导启动(单用户模式),并依次输入下面命令
(如果键盘输入,屏幕上不显示,输入xtty echo)
- 挂载根目录
mount -o remount, rw / - 修改root账号密码:
passwd root
类似下面效果
image.png
4.更新系统信息 touch /.authorelabel
touch /.authorelabel
5.最后输入以下命令重启系统即可
exec /sbin/init 或 exec /sbin/reboot
(图形界面进入命令行界面ctrl alt f2)
接下来 root登录服务器
-
登录系统
image.png - 看到
xmrig程序,进行删除
image.png
网络安全很重要!!!
