标签 Macron 下的文章

记阿里云ECS挖矿木马Macron的排查解决过程

记阿里云ECS挖矿木马Macron的排查解决过程

0. 现象

早上朋友找到我说,他们放在阿里云上的站点无法访问了,页面提示nginx 502 Gateway错误,让我帮忙看看。

1. 排查过程

定位问题

第一反应是不是nginx哪里除了问题,因为自己本身对nginx这一块也不大熟,就先网上查了下502的原因,有说一些配置导致的、日志写满磁盘的等。

看着原因比较多,不是很清楚,于是决定先登录服务器再说。

使用finalshell登录后,很快看到CPU一直是100%的状态,于是top命令查看是那个进程一直占着CPU。

这时候就能定位到Macron这个进程了,第一反应先kill了,CPU马上降下来了。但是以作为一个程序员对病毒的粗浅理解,事情肯定不会这么简单的,果不其然,很快这个Macron进程就又冒出来了。

- 阅读剩余部分 -