阿里云服务器挖矿程序解决流程

最新推荐文章于 2025-08-16 14:08:04 发布
原创 最新推荐文章于 2025-08-16 14:08:04 发布 · 9.1k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#后端 #运维

本文详述了阿里云服务器遭受挖矿程序攻击的过程与应对策略,包括异常进程识别、挖矿程序定位、环境变量修复及定时任务清除,最终解决挖矿问题。

阿里云服务器挖矿程序解决流程

问题表象

1.CPU满负载
进入root用户执行top命令:

在这里插入图片描述
2. 应用进程被杀
./startWebLogic.sh: line 184: 23884 Killed ${JAVA_HOME}/bin/java ${JAVA_VM} M E M A R G S − D w e b l o g i c . N a m e = {MEM_ARGS} -Dweblogic.Name= MEM

最低0.47元/天 解锁文章

200万优质内容无限畅学
adscici
关注
挖矿程序的处理方式及步骤
LeeKwen的专栏
04-16 4059
概述 随着币圈市场交易的活跃,币价也被日益推高。 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系。 “重赏之下,必有勇夫”,在互联网圈里也同样适用啊。 所以服务器被植入挖矿程序已经不是很稀奇的事情了,很多服务器因为漏洞、弱密码、禁用防火墙等等举措,而被做了提权后,置入了挖矿程序。 如果你接收到阿里云类似于挖矿程序的报警,那就不要慌。借用一句话就是:“遇事不要慌,先拍照,发个朋友圈”。 挖矿程序的处理方式 以下,简单地说一下遇到挖矿...
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
Ryan2k的博客
02-26 9296
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbused的进程占满了! reboot重启服务器之后,以root身份登录服务器,发现cpu是正常的。使用top命令查看,dbused并没有运行,但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户,该用户的命令却时不时运行,这让我感到很奇怪。 此时登录tung用户后,dbused便立
centos dbused挖矿病毒清理
hyc_219的博客
07-27 1921
清理bash_profile 1、打开终端,清理到用户下bash_profile文件,默认在/home/${name}/的隐藏文件内容中记录 cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null 删除crontab下任务 #查看是否包含cp -f -r --
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
jackhanyuan的博客
10-09 2907
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
服务器被黑客攻击,用来挖矿!怎么办?
最新发布
2401_84205765的博客
08-16 655
阿里云服务器挖矿程序被关停的解决过程:首先通过提交工单解封服务器,但需在3天内清除挖矿程序。排查发现可能因Redis弱口令或SSH密码泄露导致入侵。检查crontab发现有恶意定时任务下载a.sh脚本,删除相关文件后仍自动恢复。进一步检查发现/etc/crontab被篡改,指向恶意脚本newinit.sh。该脚本会修改系统权限、关闭防火墙,并植入挖矿程序。建议修复措施包括修改SSH密码、检查Redis配置、彻底清除恶意脚本及定时任务,并加强服务器安全防护。
JAVA项目启动脚本编写的一些笔记整理
山河已无恙
08-18 3977
虽然岁月如流,什么都会过去,但总有些东西发生了就不能抹煞。
阿里云提示服务器有挖矿程序 该如何处理
网站安全专家
12-25 6633
临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器被植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之90的安全提醒,我们的服务器上并没有运行大量的网站,只是一个公司的展示网站,怎么可能会出现CPU%90以上的告警,然后致电阿里云技术帮忙检查服务器为什么CPU占用这么高,得知服务器被黑,导致中了挖矿木马,服务器含有...
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9169
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
阿里云服务器挖矿
weixin_44034675的博客
05-31 1739
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
记:解决阿里云服务器挖矿程序恶意进程
绮梦寒宵的博客
10-26 3427
今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护): 解决过程: 1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图: /bin/dhpcd 占用了99%的内存 2.查看定时任务,是否有不明的定时任务 ①使用crontab -l命令查看,没有发现不明定时任务 ②cat /etc/crontab,同样没有发现不明定时任务 3.检查端口的状态 netstat -aulntp 发现tcp连接有一个不明的外国ip 复制到
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1366
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云挖矿./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 10
fuleigang的专栏
03-16 1265
根据相关法规、政策的规定及监管部门的要求,阿里云禁止客户利用阿里云服务直接或间接地从事与虚拟货币相关的业务及行为,包括但不限于虚拟货币的勘探(挖矿)、登记、交易、清算、结算等,如用户违反上述规定,阿里云有权立即停止提供所有服务。删除这个目录,发现过一会又出现,根据目录看应该是jekins程序导致的,进入jekins配置,发现异常流水线一直在构建,怪不得杀进程删文件都没用,一直在构建一直产生新的,将漏洞程序删除。杀完后发现还是异常,怀疑可能是定时任务,继续杀定时任务,发现没用,继续跟进PId查找原因,
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 1518
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
记一次阿里云服务器挖矿的经历
key_768的博客
04-17 1万+
挖矿 大早上起来,发现被“挖矿”了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 会出现这种占有99.9%的进程 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
盘阿里云ECS内挖矿程序
ChiChengIT的专栏
04-20 646
1.二话不说先上图,cpu一路飙升在100% 2.进入服务器top命令查看占用cpu的异常进程 3.找到目标PID kill -9 10478 干掉这个进程,没几秒这个Macron的进程又死灰复燃 4.定位Macron目录 ls -l /roc/$PID/exe 定位到发现目标文件为/tmp/Macron,打开此文件发现都是二进制的,啥也看不懂 5.火速干掉此文件r...
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
m0_64422133的博客
10-01 2098
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
记一次阿里云被挖矿处理记录
热门推荐
x1172031988的专栏
07-08 4万+
记一次阿里云被挖矿的处理过程
阿里云服务器挖矿解决方法
qq_47464056的博客
07-25 5267
云服务器被入侵植入挖矿程序
记一次阿里云被挖矿处理记录,一个漏洞2w+
jennycisp的博客
08-14 625
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿的脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵记录)使用history。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值