解决阿里云服务器被植入挖矿脚本过程

已于 2023-06-21 17:05:21 修改
阅读量3.9k 收藏 30
点赞数 8
分类专栏: 运维篇 文章标签: 阿里云 服务器 云计算
于 2023-06-21 14:53:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l123lgx/article/details/131326709
版权

文章目录

前言

基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。

一、服务器为什么会被告警挖矿?

云服务器中被恶意安装了脚本,然后脚本运行占用了大量的cpu 和内存,触发了云服务器监控的告警;

在这里插入图片描述

二、怎么解决:

挖矿行为需要强大的算力支持,所以其一定会占用大量的cpu 资源,所以我们以此关键点展开

1.top 命令查看进程cpu 占用情况:

top

在这里插入图片描述
cpu 占用越多,该进程是挖矿进程的可能性越大,可以清楚的看到有进程竟然将cpu 的占用率达到了100% ;

2.通过pid进程号,查找改程序所在的目录:

提示{pid} 为 top 命令 第一列对应的PID

 ls -l /proc/{pid}| grep exe

在这里插入图片描述
这里可以清楚的看到改进程脚本所在的目录;

3. 强制删除脚本文件:

rm  -f  跟文件的路径

4. 强制杀死进程:

kill -9 {pid}

通过以上步骤,我们已经删掉了脚本文件,并且杀死了进程,此时cpu 的占用应该会显著下降,可以使用top 命令在观察下;

5. 检查是否有脚本的定时任务:

防止定时有挖矿的定时任务存在

5.1 检查定时任务是否开启:

systemctl status crond

在这里插入图片描述

5.2 查看存在的任务:

crontab -l

如果发现有可疑的任务 则编辑删掉任务(记得看下这个脚本的位置将脚本也一起删掉):

 vim /etc/crontab

然后重新加载任务:

/bin/systemctl restart crond

6. 检查是否被创建了其它用户:

cat /etc/passwd

如果发现被创建了用户则进行删除:
删除用户和用户组:其中 username 是需要删除的用户的用户名

userdel -r username && groupdel username

7. 登录阿里云的后端在云安全中心处理告警事件:

当出现挖矿事件时,云安全中心会产生挖矿程序的告警事件,在这个列表下单击操作列处理,完成处理:
在这里插入图片描述

总结:

以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。

拽着尾巴的鱼儿
关注
  • 8
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
WEB漏洞含义解释(阿里云
03-27
SQL 指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的 SQL 指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。...
40-40.XSS跨站脚本攻击植入方式.mp4
05-10
40-40.XSS跨站脚本攻击植入方式.mp4
服务器被黑客攻击,用来挖矿!怎么办?
wuli1024的博客
12-29 1419
昨天下午一个朋友和我说,他的服务器阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 500
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
阿里云服务器挖矿
最新发布
weixin_44034675的博客
05-31 1040
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1188
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
解决阿里云服务器提示挖矿程序风险2022】
5Yqg576k5Lqk5rWBMTA0NDE5MjkwNQ==
11-06 1362
解决阿里云服务器提示挖矿程序风险2022
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1746
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。
记录解决阿里云ES服务器提示挖矿程序
张先生
12-11 4698
前言 突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前记得备份下 处理过程 1、检查服务器负载与CPU利用率,确定挖矿程序进程 执行命令: top , 如图: 发现有一个 network01的东西占用cup达到了87%,但我在服务器器根目录下的 tmp 下并没有看到这玩意 由上确定了PID进程号,查看进行所在的目录。执行命令, 并没有明确的位置,可以看到可执行文件链接 ll /proc/进程ID 然
阿里云服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法
王天泽的博客
08-28 1万+
1.查看进程# ps -e -o 'pid,comm,args,pcpu,rsz,vsz,stime,user,uid'找出CPU占有率高的你不认识的进程,我的是这样的bashd -a cryptonight -o stratum+tcp://pool.minexmr.com:5555 -u 4AUF3pa干掉它kill -9 111102.全局搜索这个进程[root@wangtianze ~]#
记一次阿里云挖矿处理记录,一个漏洞2w+
jennycisp的博客
08-14 376
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵记录)使用history。
阿里云服务器挖矿怎么办
网站安全专家
02-11 5062
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云数据中台解决方案.pdf
09-08
阿里云提供了完整的解决方案,从咨询、规划到实施、运维,帮助企业逐步实现数据的资产化,解决数据价值挖掘过程中的挑战。 总的来说,阿里云数据中台解决方案是企业构建现代化数据基础设施的关键工具,通过结合...
网站被植入Webshell的解决方案.docx
10-26
网站被植入Webshell的解决方案.docx
阿里云服务器扫鸡不关机工具教程
07-26
阿里云服务器扫鸡不关机工具教程主要针对的是服务器安全管理和运维中的一种常见问题,即服务器在被恶意扫描(通常称为“扫鸡”,意指寻找存在漏洞并可被利用的服务器)时,由于资源被大量消耗导致系统自动关机。...
服务器挖矿后如何排查处理
热门推荐
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
记一次虚机被植入挖矿程序的处理
b379685397的博客
12-16 1876
挖矿程序发现 这两天在研究大数据的数据同步工具时,发现数据同步非常慢,数据库数量很小,但是同步了10几分钟都没有同步结束,于是登录虚机查看了下机器状态。 执行top命令发现有个进程名叫biden1的任务,把CPU占满了。但我影像中应该没有运行这种东西,虚机状态检查也没有病毒和木马,于是怀疑被人植入挖矿程序了。 执行kill -9 9102 命令杀掉,之后几分钟后线程又启动起来了。于是开启了和挖矿程序战斗的路程。 定时任务检查 一般进程定时启动都会放在定时任务上。因此先从虚机的定时任务入手,一般
阿里云提示服务器挖矿程序 该如何处理
网站安全专家
12-25 6182
临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之90的安全提醒,我们的服务器上并没有运行大量的网站,只是一个公司的展示网站,怎么可能会出现CPU%90以上的告警,然后致电阿里云技术帮忙检查服务器为什么CPU占用这么高,得知服务器被黑,导致中了挖矿木马,服务器含有...
JSP 代码植入与代码编程整合设计过程
06-09
JSP(JavaServer Pages)是一种用于创建动态Web页面的技术。在JSP中,可以将Java代码嵌入到HTML中,从而实现动态内容的生成。JSP代码植入与代码编程整合设计过程可以分为以下几个步骤: 1. 编写JSP页面:首先,需要编写JSP页面。在JSP页面中,可以使用HTML、CSS和JavaScript来实现页面的布局和交互效果。同时,也可以使用JSP标签和脚本来嵌入Java代码,实现动态内容的生成。 2. 创建Java类:如果需要在JSP页面中使用Java代码,需要创建一个Java类。这个Java类可以实现一些业务逻辑,比如从数据库中读取数据,进行计算等。 3. 在JSP页面中使用Java类:在JSP页面中,可以使用JSP标签和脚本来引用Java类。通过调用Java类中的方法,可以实现动态内容的生成。 4. 部署JSP页面:最后,需要将JSP页面部署到Web服务器中。当用户访问JSP页面时,服务器会动态生成HTML页面并返回给用户。 在整个过程中,需要注意Java代码的安全性和性能问题。为了保证安全性,应该避免在JSP页面中使用用户输入的数据直接执行Java代码。为了提高性能,可以使用JSP的缓存机制,减少Java代码的执行次数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值