关于服务被挖矿程序minerd入侵解决方法

已于 2023-08-22 16:14:14 修改
阅读量5.4w 收藏 17
点赞数 7
分类专栏: Linux OpsDev linux运维过程 文章标签: 木马 minerd
于 2016-07-14 14:31:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu_wen/article/details/51908597
版权
OpsDev 同时被 3 个专栏收录
79 篇文章 0 订阅
订阅专栏
Linux
47 篇文章 2 订阅
订阅专栏
linux运维过程
23 篇文章 7 订阅
订阅专栏

今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu

在opt目录下发现有个异常文件,是个命令文件minerd

在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件

本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同事一查确实定时器存在一条:,果断删除处理。再杀进程,再删文件;然并卵,依旧起来;

百度资料说该根源可能是通过jenkins开放外网被黑客入侵导致,接着就把jenkins服务停止,把外网端口关闭,顺道把服务器的所有用户密码及ssh改了一遍,再把minerd进程杀掉,删文件,但是还是不行。

http://www.myhack58.com/Article/48/66/2014/56680.htm

继续百度各种资料,检查是否存在其它定时器,在/var/spool/cron/目录下发现有个root用户的定时器文件,以为找到根源了,再次果断删除,结果,还是没有解决;

后面同事在google搜索到了一个资料,

linux - How can I kill minerd malware on an AWS EC2 instance? - Information Security Stack Exchange

各种文件删除都不起作用,原来该木马程序注册了一个“lady”的服务,而且还是开机启动,起一个这个可爱的名字,谁TMD知道这是一个木马。

把lady服务停止,删除开机启动,删除文件,恢复正常!

注意:清理完成后请及时安装防病毒软件,防止再次挖矿入侵

---2017 02 21 补充

很有网友也遇到跟我同样的问题,但是木马程序确实有点嚣张,通过利用redis的免帐号密码漏洞进行入侵

http://blog.jobbole.com/94518/

1. 修复 redis 的后门缺陷

  1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379
  2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
  3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
  4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的密钥

3. 删除用户列表中陌生的帐号

参考文献:

 redis未授权访问漏洞:Redis未授权访问漏洞_hu_wenjie的博客-CSDN博客

hu_wenjie
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
记一次 Linux 被入侵服务器变“矿机”全过程.docx
12-25
记一次 Linux 被入侵服务器变“矿机”全过程
服务器遭遇挖矿怎么办?
2401_84466316的博客
06-03 1353
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
CentOS 服务器因 Redis 遭遇挖矿程序 minerd 入侵事件记录
Dancen的专栏
07-18 3522
事件经过: 周六早上监控服务器发送报警,连续多次无法建立与一台应用服务器的连接。 情况紧急,登录时发现该应用服务器并没有崩溃。 执行: ps -ef | grep nginx 结果显示相关服务还健在。 执行: uptime 发现,服务器的负载非常高。 执行: top 发现,有一个叫做minerd的进程占用了几乎所有cpu资源。 百度“centos minerd”,搜索结果显
Linux服务挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1459
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
记一次解决阿里云服务器被植入挖矿病毒
hghjgkjn的博客
06-23 1670
解决阿里云服务器被植入挖矿病毒
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 4128
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
NicolasLearner的博客
07-22 4430
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
我的服务器被挖矿了,原因居然是...
A_991128a的博客
06-24 230
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
入侵windows服务器的一种方法
12-19
【标题】:“入侵windows服务器的一种方法” 在网络安全领域,了解如何防范和应对潜在的服务入侵至关重要。本项目探讨了一种利用命令行工具进行Windows服务入侵的技术。这种方法涉及到多个步骤,包括在目标...
解决sql2000安装程序配置服务器失败
12-09
#### 常见问题及解决方法 ##### 配置服务器时中断 **现象**: 在安装过程中,当进行到配置服务器阶段时突然中断。 **解决方法**: 1. **卸载已安装的 SQL Server 2000** (如果有的话)。 2. **删除 Microsoft SQL ...
线上服务器突然崩了!?Jenkins 服务器中挖坑病毒解决方案
01-09
作者:一盏烛光,贤牛特邀工程师。 防伪码:三十功名尘与土,八千里路云和月。 公元 2020/04/16 4:38 分,登录线上服务器,执行 top 命令执行,发现已经崩了… 我们的 Jenkins 数据是从广州研发部 copy 过来的,...
Linux杀不死的进程之CPU使用率700%解决方法
01-20
1. 问题发现 [root@zwlbs3 ~]# top i. 发现有个进程CPU使用率居然700%,COMMAND 是一些随机的字符串组成,完了~ 中标了;第一想到就是“沙雕”它,kill 命令给我上。 [root@zwlbs3 ~]# kill -9 PID ...
spoolsv.exe应用程序错误,打印机Spooler服务自动停止解决办法
04-19
以上方法是常见的解决“spoolsv.exe应用程序错误”和打印机Spooler服务自动停止的方法。每个步骤都可能针对不同情况有所帮助,建议按照顺序尝试,直到问题得到解决。同时,保持操作系统和驱动程序的更新,以及定期...
C# 解决Win7服务与桌面交互应用(服务启动后台应用程序
05-09
本主题将深入探讨如何使用C#来解决Win7服务与桌面应用的交互问题,特别是在服务启动后台应用程序的场景下。 首先,我们需要了解服务的基本概念。在C#中,我们可以使用`System.ServiceProcess`命名空间中的`...
《OPCDA服务器与客户程序开发指南》修订版
06-30
7. 故障排查和优化:分享在实际开发中遇到问题的解决方法,以及提高性能和稳定性的策略。 8. 实例分析:提供实际的代码示例,帮助读者更好地理解和应用所学知识。 通过学习《OPC DA服务器与客户程序开发指南》,...
linux服务挖矿程序xmrig入侵以及解决方案
热门推荐
weixin_46575363的博客
09-03 1万+
记一次Xmrig挖矿木马排查过程 2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,马上打开电脑查看 控制台CPU占用 原因分析与解决方案 寻找原因 查找挖矿进程 top -H 从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名) 查找挖矿程序文件位置 root@xxx:/# find / -name ‘xmrig’ /root/.c3pool/xmrig --config=/root/.c3pool/config.json 我们尝试kill掉
服务器提示有挖矿程序,是怎么回事
weixin_42341543的博客
03-25 1983
在提示我有挖矿程序后,我去阿里云的安全中心,看到有三个病毒进程警告,但是都结束进程失败,然后我询问售后工程师,售后工程师给我的回复时格式化云盘。因为没有找到更好的解决方式,就选择了重新安装系统和格式化云盘,已彻底清除病毒。 另外,如果没有主动进行挖矿程序,可能是因为安装的某些程序引起的。比如:安装redis时没有设置密码,或者使用默认端口都有可能引起病毒入侵。所以在安装redis时,不要使用默认端口6379,并且设置较为复杂的密码。 ...
服务器上居然出现挖矿程序
崎山小鹿的专栏
07-10 177
去抓一个挖矿程序玩玩,这几天检测到服务器有报警。出现了紧急安全事件,要求立即登录处理。
linux 被入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hu_wenjie

您的鼓励将是我创作最大的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值