一次服务器被挖矿木马攻击的经历

最新推荐文章于 2024-02-22 14:56:32 发布
最新推荐文章于 2024-02-22 14:56:32 发布
阅读量580 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lisong_jack/article/details/91430210
版权

基本情况介绍:

      使用TOP命令,查看所有进程占用资源情况,发现存在一个进程,占用大量CPU资源和内存资源。进入/proc/<PID>目录下,看到该进程的命令来源于/tmp下。使用kill -9 <PID> 命令杀死该进程之后,一会又有新的进程产生,依然占用大量CPU。

      于是猜想可能存在定时任务或者其守护进程。使用systemctl status crond查看到定时服务并没有启用。用pstree命令看到该进程存在一个父进程,PID是一串数字,显然不正常。于是先kill该父进程,然后在kill该进程,最后删除/tmp的该进程命令。再次使用top命令查看,CPU已恢复正常使用。

      由于服务器上开启了项目所需的必要端口,其中包括了redis的默认端口6379(未设置密码),因此猜想可能是该端口产生的安全问题。首先为redis服务设置了密码。

夏日温华
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【应急响应篇】木马应急响应指南
大河之犬的博客
04-20 1747
大部分进程为了使程序驻留,会在当前服务器/主机中写入定时任务,若只清除木马,定时任务会直接执行脚本或再次从服务器下载进程。在发现现象后,在不影响业务的前提下应及时隔离当前服务器/主机,如禁用非业务使用端口、服务,配置 ACL 白名单,非重要业务系统建议先下线隔离,再做排查。所以在查看进程时,无论是看似正常的进程名还是不规则的进程名, 只要是 CPU 占用率较高的进程都要逐一排查。还有的进程为确保系统重启后进程还能重新启动,会在系统中添加启动项。在用户 home 目录的。
宝塔攻防------木马xmrig问题处理
jack_Day666的博客
05-13 1043
点他名字xmrig进详情 查找是否有异常的ip端口号 在宝塔首页,查看对应版本是否过低 进入云服务器,查看是否有异常登录和木马文件 这里隔离后,在宝塔里 起始都输入刚刚的ip 然后添加 查看服务器异常登录,因为加了黑名单,可以不管了 最后,查看宝塔主页面,cpu是否正常,如果正常,可以不重启服务器,建议重启宝塔。 ...
一次Linux服务器被hack的过程分析
01-31
最近遇到一个服务器被hack的问题,服务器变成了肉机,不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具,了解入门的hack方法、学习相应的防范措施。hacker登入一台被入侵的服务器,通常首先使用”w”命令查看登陆者信息、使用”passwd”命令修改当前用户密码,然后通过wget,获取提权和其他hack工具。hacker一般将工具解压到目录名以”.”开头的目录中,达到隐藏的效果,以下是此次问题hacker在服务器上留下的“礼物”:linux:/tmp/.ssh#ll总计340下面我们对以上各工具的作用逐一进行分析。远程会话管理工具screenscreen主要用于管理多
服务器木马攻击该怎么处理
weixin_34101784的博客
02-12 523
2019独角兽企业重金招聘Python工程师标准>>> ...
应急响应-木马-典型处置案例
最新发布
qq_50765147的博客
02-22 1042
根据上述排查信息总结发现,此次内网服务器所感染的病毒为Nrs Miner蠕虫病毒。病毒传播的方法:利用“永恒之蓝”漏洞进行传播,传播端口为445。通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为2018/11/16 17:48:18。通过收集分析堡垒机应用服务器所有日志信息,排查人为投毒的可能性。
网络安全之认识木马
学而思(xiejava的blog)
02-21 8225
目前,我国政府宣布要实现碳达峰碳中和的目标,严重耗能的虚拟加密币相关生产、交易被认定为非法,我国境内所有(生产加密货币的)场必须关闭。因需要大量财力投入,从一开始,就有人想到利用木马控制他人的计算机组建僵尸网络集群的办法,这就是所谓“木马”。
CentOS 服务器因 Redis 遭遇程序 minerd 入侵事件记录
Dancen的专栏
07-18 3441
事件经过: 周六早上监控服务器发送报警,连续多次无法建立与一台应用服务器的连接。 情况紧急,登录时发现该应用服务器并没有崩溃。 执行: ps -ef | grep nginx 结果显示相关服务还健在。 执行: uptime 发现,服务器的负载非常高。 执行: top 发现,有一个叫做minerd的进程占用了几乎所有cpu资源。 百度“centos minerd”,搜索结果显
运维圣经:木马应急响应指南
qq_61553520的博客
06-14 1002
:每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网络的正常运行。这个寻找代码获得奖励的过程就是。但是要计算出符合条件的值需要进行上万亿次的哈希运算,这个过程需要大量的算力,于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己
关于服务被程序minerd入侵解决方法
热门推荐
Hu_wen的专栏
07-14 5万+
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件 本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同
记一次解决阿里云服务器被植入病毒
hghjgkjn的博客
06-23 1627
解决阿里云服务器被植入病毒
Android平台木马研究报告
omnispace的博客
03-24 1651
摘    要手机木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。2014年3月首个Android平台木马被曝光。从2013年开始至2018年1月,360烽火实验室共捕获Android平台木马1200...
记一次入侵Linux服务器和删除木马程序的经历
09-15
主要介绍了记一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
记一次Ubuntu服务器被黑经历
09-15
最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊,很可能服务被侵入了。下面通过本文给大家分享下详情
记一次Centos服务器被挂马的抓马经历
09-15
主要介绍了记一次Centos服务器被挂马的抓马经历分享,非常不错,具有参考借鉴价值,需要的朋友参考下
木马总结
luckc7的博客
06-09 1356
木马总结与案列分享
网络安全应急响应----6、攻击应急响应
七天
03-21 1万+
文章目录一、木马简介1、流程2、木马的传播方式二、常见的木马三、木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认进程3.3、系统排查3.3.1、判断木马时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、木马清除四、木马防御 一、木马简介 : 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
关于rabbitmq安全漏洞的问题
程序员涂小哥的技术博客
02-17 1万+
在我们的很多个项目中都用到了消息中间件,虽然现在有些已经改用了kafka,但是还有相当一部分依然用的是rabbitmq。 而最近呢,我们收到了一份关于安全漏洞扫描的文档,说我们的rabbitmq存在着一些安全漏洞问题,既然是有问题,自然是需要整改的,但是看完文档以后,发现这种安全漏洞问题似乎并不是很好解决。 文档中指出的问题主要有这样三个: 一、更改密码没有验证旧密码 说的具体点
记一次服务器木马攻击经历
点滴汇聚,智在积累。——Danny
01-07 2万+
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个木马,于是赶紧采取办法~ 清除恶意程序 首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图: (图2) 先删除/tmp/imWBR1,再kill掉imW
服务器被黑客攻击,用来,怎么办?
m0_63171455的博客
02-23 2587
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到...
服务器了需要重装系统吗
06-10
一般情况下,云服务器后最好的解决办法是重装系统。因为病毒通常会在系统中留下一些后门或者恶意程序,这些程序可能会继续在后台运行,重新感染服务器或者窃取敏感信息。所以,为了确保服务器安全,建议重...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值