阿里云——云安全中心安全事件提醒:挖矿程序

最新推荐文章于 2024-05-31 12:43:11 发布
最新推荐文章于 2024-05-31 12:43:11 发布
阅读量5.7k 收藏 4
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iamcool345/article/details/90406546
版权

近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。”

登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。

查阅/etc/crontab、/etc/cron.d和/var/spool/cron,后两个目录下的名为root的文件被写入了三个任务计划,是下载一个shell文件并执行。通过查看这个shell文件,程序又从网站下载了一个可执行文件crloger1到/tmp,其属性被置为+ia。

用pstree命令又发现了一个名为migrations的异常进程,文件位于/etc,注意不是migration,也是杀死之后又重新启动。

处理步骤:

修改root密码;

~/.ssh/出现了不认识的authorized_keys,改属性后删除。

删除连接网站下载文件的任务计划;

执行chattr -ia chloger1;

杀死httpdz和migrations,删除/etc/httpdz、/etc/migrations和/tmp/crloger1。

系统没有设置redis密码。设置redis密码, 限定可以连接redis的IP, 改redis默认端口6379。如果不用redis,干脆停掉也行。

观察了24小时,阿里云没有再推送警告。

 

 

iamcool345
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
阿里云标准-Apache Tomcat 安全基线检查 Apache Tomcat 是一个流行的开源Web服务器和Servlet容器,但是在实际应用中,如果不遵循安全基线,可能会导致安全隐患。阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户...
阿里云标准-PostgreSql安全基线检查
05-10
阿里云标准-PostgreSql安全基线检查
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 446
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
解决阿里云Ecs提示有挖矿程序
小薯条的博客
07-22 3893
背景 自己买了一台阿里云的Ecs学生机用来玩玩,已经好久没有管了,最近每天凌成三点阿里云发短信提示出现紧急安全事件挖矿程序,建议紧急处理。实在受不了了,登录阿里云查看了一下监控,所有指标正常,网上所说的肉机特征完全没有出现,但是短信天天提醒,MD只能继续处理一下 症状 先top free df看一下,老铁没毛病啊,然后还是发现了一些异常文件,当时没有截图,导致大家看不了,于是赶紧一顿rm * -...
阿里云服务器被挖矿
最新发布
weixin_44034675的博客
05-31 1015
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
ZL_1618的博客
12-27 1170
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)①1000+CTF历届题库(主流和经典的应该都有了)③项目源码(四五十个有趣且经典的练手项目及源码)⑦ 2023密码学/隐身术/PWN技术手册大全。⑤ 网络安全学习路线图(告别不入流的学习)⑥ CTF/渗透测试工具镜像文件大全。②CTF技术文档(最全中文版)
阿里云服务器centos7挖矿病毒处理
08-05 3168
阿里云】尊敬的1*********6:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1 处理过程: 1、查找异常进程,确定病毒进程,定位病毒脚本的执行用户 2、杀掉病毒进程,注意要检查清楚,病...
记录一次阿里云服务器被挖矿程序攻击及处理
Crayon
11-26 1374
top命令发现该挖矿程序占用了200%CPU kill掉程序发现第二天仍然会生成该程序,crontab -l 发现存在该定时任务 crontab -e 命令编辑定时任务,删除该定时任务
阿里云标准-Nginx安全基线检查
05-10
阿里云标准-Nginx安全基线检查
阿里云标准-MySQL安全基线检查文档
05-10
阿里云标准-MySQL安全基线检查
阿里云云安全视频.zip
05-23
目录 第1章云计算的安全形势.mp4 ...第3章阿里云网络管理.mp4 第4章云盾的主机级防护第5章云盾的应用级防护.mp4 第6章云盾的业务防护.mp4 第7章云盾的数据级防护.mp4 第8章云盾的安全管理.mp4 第9章安全防护建议.mp4
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3740
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
清除阿里云服务器挖矿程序过程
shuizhongmose的专栏
04-02 2780
历时一天阿里云ECS服务器清除挖矿程序过程
阿里云挖矿进程wnTKYg入侵的解决方法
dichengyan0013的博客
12-14 202
杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。 最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,很明显是...
解决阿里云服务器CUP爆满被用来当挖矿机(中病毒解决)
NicolasLearner的博客
10-14 318
1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9 pid 杀死进程suppoie 进程后,过一分钟该进程又起来了 3. 查找源文件 杀死进程又起来,肯定是有源文件在远程调用其他远程文件植入病毒,查询源文件 find / -name '*suppoie*' 查找到了文件 在/var/tmp 目录下 如下图 然后删除 suppoie , su...
【解决阿里云服务器提示挖矿程序风险2022】
5Yqg576k5Lqk5rWBMTA0NDE5MjkwNQ==
11-06 1357
解决阿里云服务器提示挖矿程序风险2022
阿里云服务器中挖矿木马处理过程
热门推荐
小灵通的专栏
01-18 1万+
阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载。登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程。因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便日后处理备查。首先登陆服务器,使用top命令查看进程:CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,首先比较直观的是imWBR1这个进程,查找它
阿里云服务器遭受挖矿程序的入侵的清理之战
NicolasLearner的博客
04-02 887
1. 背景 最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7。 2. 排查 (1)使用top命令,cpu使用率很少,几乎为0,该图只是演示,不是当时情况,当时情况:cpu使用率为0,空闲100%,明显很有问题 这个时候,说明挖矿程序改变你的服务器,看到的并不真实,这个时候需要一个命令:vmstat 你会发现us为99 id几乎为0 (2)查看Linux的定时任务cron,使用命令crontab -l 命令查看所有的定时任
端到端安全阿里云容器服务云原生安全实践.pdf
04-10
阿里云容器服务安全架构 安全软件供应链 应用部署和运行时刻安全 端到端安全最佳实践 — 软件供应链安全 端到端安全最佳实践 — 基础设施安全 端到端安全最佳实践 — 应用侧安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值