阿裏雲服務器被挖礦病毒minerd入侵的解決方法
阿新 • • 發佈:2017-12-28
minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這種病毒啊,趕緊的尋找解決的方法。下面是我把minerd給殺掉的過程,希望對大家有幫助。
步驟如下:
1、關閉訪問挖礦服務器的訪問
[root@fuwuqi~]# iptables -A INPUT -s xmr.crypto-pool.fr -j DROP [root@fuwuqi~]# iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP
2、查看定時任務
[root@fuwuqi ~]# cd /var/spool/cron/ [root@fuwuqi cron]# ll -rw------- 1 root root 263 Nov 2 23:24 root [root@fuwuqi cron]# cat root
[root@fuwuqi ~]# cd /var/spool/cron/crontabs [root@fuwuqi crontabs]# ll -rw------- 1 root root 263 Nov 2 23:24 root [root@fuwuqi cron]# cat root
註意:
(1)如果/var/spool/cron/root和/var/spool/cron/crontabs/root定時任務中有上面如圖所示的定時內容,就把上面的定時任務給刪除。再次提醒,只刪除上圖中的定時任務就可以了,其他的定時任務不要亂刪,誤刪後果自負。
(2)並不是所有中minerd病毒的服務器都會有定時任務,我遇到的就沒有定時任務,上面所述是出現定時任務的解決方法。
3、找到挖礦程序minerd
[root@fuwuqi cron]# find / -name minerd* /tmp/minerd
4、取消挖礦程序minerd的執行權限
[root@fuwuqi cron]# cd /tmp [root@fuwuqi tmp]# chmod -x minerd
註意:在沒有找到根源前,千萬不要刪除 minerd,因為刪除了,過一回會自動有生成一個。
5、殺掉minerd進程
[root@fuwuqi tmp]# pkill minerd [root@fuwuqi tmp]# rm minerd //刪除minerd程序
使用top命令查看,發現minerd進程消失,過幾分鐘之後進程沒有再起來,挖礦程序minerd被消滅了,好開心啊!
6、總結:由於服務器上安裝了redis,黑客利用redis的漏洞獲得了服務器的訪問權限。
7、建議如下:
(1)修復 redis 的配置
a、配置bind選項, 限定可以連接Redis服務器的IP, 並修改redis的默認端口6379。
b、配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中。
c、配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
(2)打開 /root/.ssh/authorized_keys, 刪除你不認識的賬號。
(3)查看你的用戶列表,是不是有你不認識的用戶添加進來。 如果有就刪除掉。
阿裏雲服務器被挖礦病毒minerd入侵的解決方法