2. 程式人生 > >伺服器病毒問題解決- 阿里雲 挖礦病毒,Circle_MI.png

伺服器病毒問題解決- 阿里雲 挖礦病毒,Circle_MI.png

阿新 發佈:2019-01-21

http://blog.51cto.com/chaojiit/1924111

今天我們的伺服器 CPU 跑滿了,最後發現是中了兩個病毒,病毒有時是惡意毀壞你的資料,有的為了當做肉機,

wKiom1k2EbHSHsKrAACbHC3gNZ4983.jpg-wh_50

當你遇到機器本身沒跑什麼東西,但是很慢的情況下,可以top 看一下機器的使用情況

如果發現使用率很高 而且你還不知道的,那麼你可以確認一下它是否是病毒程序

如果是病毒經常 那麼直接 kil - 9 pid

有一部分,殺了它還會新建 程序,這樣的話你可以看一下 定時器裡是否有病毒

crontab -l; 檢視

crontab -r 刪除

最好 也檢視一下/etc/crontab

然後在kill -9 pid 這個頑固的 病毒程序

隨便把這個 病毒通訊的ip 在防火牆給遮蔽了

然後又是病毒,是以指令碼控制的,當你kill掉程序,那麼它還是會重新 生成惡意程序或者破壞,

查詢病毒程序的啟動檔案,


補充一下,redis 6379埠儘儘量不要對外沒有條件的開放,你懂得

————————————————————

其它參考:

http://blog.csdn.net/odailidong/article/details/72881386

今天在騰訊雲上搭的開發環境裡的一臺機器cpu load飈升老高,然後還能登陸上去,top後發現兩個可疑程序、/root/目錄下有修改過的檔案、/opt目錄被幹掉了,

後經分析,這臺機器上有redis外網服務,/root目錄下還有個READ_ME.txt,  內容如下:


中招了,快哭了,兩個可疑程序

在騰訊雲上找到篇處理步驟:

Redis 預設情況下,會繫結在 0.0.0.0:6379,這樣會將 Redis 服務暴露到公網上,在Redis伺服器沒有開啟認證的情況下,可以導致任意使用者在可以訪問目標伺服器的情況下成功在Redis 伺服器上寫入公鑰,進而可以使用對應私鑰直接登入目標伺服器進行遠端控制,使您的主機淪陷為肉雞,敏感資料洩漏,為避免您的業務受影響,建議您及時進行加固。
【漏洞概述】 Redis 預設情況下,會繫結在 0.0.0.0:6379,導致Redis服務暴露到公網上。 如果在沒有開啟認證並且在任意使用者可以訪問目標伺服器的情況下,從而可以未授權訪問Redis服務,進一步可進行資料增刪改查,甚至獲取伺服器許可權等惡意操作。
【風險等級】    高風險
【漏洞風險】 主機被遠端控制,洩漏敏感業務資料;
【漏洞利用條件】 1Redis服務以root賬戶執行; 2. Redis無密碼或弱密碼進行認證; 3. Redis監聽在0.0.0.0公網上;
【加固建議】 1. 禁止Redis服務對公網開放,可通過修改redis.conf配置檔案中的"#bind 127.0.0.1" ,去掉前面的"#"即可(Redis本來就是作為記憶體資料庫,只要監聽在本機即可); 2. 設定密碼訪問認證,可通過修改redis.conf配置檔案中的"requirepass" 設定複雜密碼(需要重啟Redis服務才能生效);
3. 對訪問源IP進行訪問控制,可在防火牆限定指定源ip才可以連線Redis伺服器; 4. 修改Redis預設埠,將預設的6379埠修改為其他埠; 5. 禁用config指令避免惡意操作,在Redis配置檔案redis.conf中配置rename-command"RENAME_CONFIG",這樣即使存在未授權訪問,也能夠給攻擊者使用config 指令加大難度; 6. Redis使用普通使用者許可權,禁止使用 root 許可權啟動Redis 服務,這樣可以保證在存在漏洞的情況下攻擊者也只能獲取到普通使用者許可權,無法獲取root許可權; 【清理木馬】 如果您的雲主機已經被利用並上傳了木馬,參考木馬清理方案如下: 1阻斷伺服器通訊。 (如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP) 2清除定時器任務。 (如systemctl stop crond 或者crontab –e 刪除未知的計劃任務) 3刪除木馬和未知公鑰檔案。 (如  /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授權;chmod –x 惡意程式) 4終止木馬程序。 (如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd) 5終止惡意service (檢視是否有惡意的服務,如lady - service ladystop)

附:

騰訊的公告:http://bbs.qcloud.com/thread-30706-1-1.html

相關推薦

伺服器病毒問題解決- 阿里 病毒Circle_MI.png

http://blog.51cto.com/chaojiit/1924111 今天我們的伺服器 CPU 跑滿了,最後發現是中了兩個病毒,病毒有時是惡意毀壞你的資料,有的為了當做肉機, 當你遇到機器本身沒跑什麼東西,但是很慢的情況下,可以top 看一下機器的使用情

阿里病毒查殺

日常登入開發機。登入時發現很慢。心想肯定又又又中毒了(之前就經常各種挖礦攻擊) 登入後 top   -》  cpu 97%  但程序裡佔用高的最高也才1%呀(很是奇怪) 無奈又想把htop安上於是  yum install -y hto

阿裏服務器被病毒minerd入侵的解決方法

minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這

伺服器病毒處理之二 --------bin/x7程序開機自啟動

雲伺服器挖礦病毒處理之一 --------kworker和netfs異常 上面之一是我遇到的第一個問題,當時以為解決了,但發現其中有三臺機器只要啟動後就會有bin/x7程式,很是頑固。 重啟後就有問題,我查看了所有cron*的檔案顯示都正常的,然後再看了一下/etc/init.d裡面的檔

伺服器病毒處理之一 --------kworker和netfs異常

最近這幾天公司有個專案組的機器中毒了,而且很嚴重,看了一下中毒日期發現是10月18號就被入侵了。前段時間就有問題他們沒被重視,這幾填記憶體佔用太恐怖了特別是在夜晚自動啟動,程序定點在0點到8點啟動 程序檢視: 使用clamscn進行病毒掃描(具體Clamscn的具體介紹可以使

解決阿里伺服器提示程式風險

      今天大早上收到阿里雲郵件通知,提示有挖礦程式。一個激靈爬起來,折騰了一早上,終於解決問題了。   其實前兩天就一直收到阿里雲的通知,檢測到對外攻擊,阻斷了對其他伺服器6379、 6380和22埠的訪問,當時沒怎麼當一回兒事,反正是我用來自己學習用的,就放著不管了,結果今天事態就大了。

伺服器病毒處理之一 --------kworker和netfs異常

最近這幾天公司有個專案組的機器中毒了,而且很嚴重,看了一下中毒日期發現是10月18號就被入侵了。前段時間就有問題他們沒被重視,這幾填記憶體佔用太恐怖了特別是在夜晚自動啟動,程序定點在0點到8點啟動 程序檢視: 好吧,中了木馬和後門全部中招了 然後用c

解決病毒占用cpu以及誤刪 ld-linux-x86-64.so.2 文件的問題

轉移 第一條 根目錄 man bios 原本 光盤 防止 隱藏權限 上次已經被抓去挖礦了當了一次曠工了,本以為解決了,沒想到竟然死灰復燃。 這次占用cpu的依然是一個ld-linux的進程,kill掉之後同樣就查了關於test用戶的進程,果然,test用戶的進程有100+個

qW3xT.2解決病毒

創建 exp tab -a 在服務器 守護 root 服務 tmp目錄 首先殺死進程: 1.首先,將 CPU 占滿的進程殺死 2.它有一個 守護進程 ps -aux|grep ddg 刪除文件: 1.進入/tmp文件夾下。發現qW3xT.2文件,刪除。 2.刪除/tmp目錄

病毒 qW3xT.2 最終解決方案

rop mod detail ios tail index $2 ashx hoc 轉自:https://blog.csdn.net/hgx13467479678/article/details/82347473 1,cpu 100%, 用top 查看cpu100

病毒 解決思路 xmr

strong username 查看cpu ESS spider pool nobody join virt 基本上通過服務器挖礦只能利用cpu的性能了,所以 top查看cpu利用率,但是程序會影藏,讓你看不見,解決:刪除/usr/local/lib/libntp.so ,

Weblogic漏洞病毒解決方法

  1、 中病毒現象 此病毒基於Weblogic服務漏洞發起攻擊,造成系統宕機,cpu使用率高達400%以上。 2、 檢視病毒程序 Linux命令:root使用者執行top命令 ,會出現.data、.conn等程序。 Windows:檢視裝置管理器 也是出現.

linux 伺服器被植入ddgs、qW3xT.2病毒處理記錄

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.s

阿里ECS遭程式攻擊解決方法(徹底清除程式順便下載了程式的指令碼)

一:殺死挖礦程式程序 在伺服器上使用top指令檢視cpu的使用情況,發現有一個叫java的程式佔用cpu高達99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

如何更有效的消滅watchdogs病毒?華為DCS Redis為您支招

漏洞概述 近日,網際網路出現watchdogs挖礦病毒,攻擊者可以利用Redis

服務器病毒的排查過程

挖礦今天同事反饋公司的某臺服務器遠程連接不上,登錄服務器查看後,發現CPU使用率居高不下。kill掉後,一分鐘有自動生成,整個排查思路如下:1、top 命令查看主機負載,確認可疑進程為bashd2、確認可疑進程嘗試殺掉,pkill bashd ,但發現一會就出現,懷疑有定時任務 3、 排查定時任務,定時任務有

記一次手動清理Linux病毒

pan fff 殺毒軟件 win10 ado top 根據 部門 enter 時間:2018年5月16日起因:某公司的運維人員在綠盟的IPS上監測到有挖"門羅幣"的惡意事件,受影響的機器為公司的大數據服務器以及其他Linux服務器。我也是趕鴨子上架第一次

Window應急響應(四):病毒

war 運行 focus 成功 關於 .exe 防範 pla min 0x00 前言 ? 隨著虛擬貨幣的瘋狂炒作,挖礦病毒已經成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務器進行挖礦,具體現象為電腦CPU占用率高,C盤可使用空間驟降,電腦溫度升高

Linux應急響應(三):病毒

命令 cront 展現 red dir resp ade 2-2 -h 0x00 前言 ? 隨著虛擬貨幣的瘋狂炒作,利用挖礦腳本來實現流量變現,使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式。新的挖礦攻擊展現出了類似蠕蟲的行為,並結合了高級攻擊技術,以增加對目標服務器感染

再一次被入侵之潛伏的病毒

今天是11月10號,正在忙著做雙十一凌晨流量衝擊的加固工作,登入xx伺服器的時候無意間發現CPU的使用率達到了70%,按常理分析,xx伺服器資源不會使用這麼高的,ps 排序一下程序資源使用,如下圖: 果然,有一個高負載的程序“-sh”,佔用CPU達到了599%, 據經驗分析,這絕逼又是