阿里云服务器中挖矿木马处理过程

最新推荐文章于 2024-05-31 12:43:11 发布
最新推荐文章于 2024-05-31 12:43:11 发布
阅读量1.3w 收藏 16
点赞数 3
分类专栏: Linux

在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载。

登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程。

因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便日后处理备查。

首先登陆服务器,使用top命令查看进程:

CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,这里写图片描述

首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图: 
这里写图片描述
(图2) 
先删除/tmp/imWBR1,再kill掉imWBR1进程。在上图2中,除了imWBR1,看到还有一个进程,主要目的是从下载imWBR1这个程序,它可能是imWBR1的守护进程,果不其然,过了一会,imWBR1又“活”了,应该就是这个守护进程搞的鬼,找到该进程的名字为“ddg.2021”: 
这里写图片描述
对应的文件同在/tmp/目录下,名为“ddg.2021”,同样删除文件,kill掉该进程。

但是过了一会,这两个小东西又出现了,可能是利用定时任务在不断重启服务,看了下定时任务,果然在我的定时任务里动了手脚: 
这里写图片描述
利用crontab -e 对定时任务列表中的任务进行删除,顺便禁掉218.248.40.228这两个IP,终于解决了。

同时在安全策略组中对相应的端口进行封杀

最后说下,这个木马是怎么进来的呢,查了一下原来是利用Redis端口漏洞进来的,它可以对未授权访问redis的服务器登录,定时下载并执行脚本,脚本下载imWBR1和ddg文件并运行,imWBR1挖矿,ddg进行系统监控、远程调用、内网传播等。所以除了执行上述操作,还要把未授权的redis服务设置密码,修改端口号等,防止再次被入侵。

lasig
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1265
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
QT连接阿里云服务器的MySql数据库示例
06-10
在本文,我们将深入探讨如何使用QT框架连接到阿里云服务器上的MySQL数据库。QT是一个流行的开源C++开发框架,广泛用于构建跨平台的桌面、移动和嵌入式应用程序。而阿里云提供了稳定可靠的云服务器服务,是许多企业...
阿里云提示服务器有挖矿程序 该如何处理
网站安全专家
12-25 6186
临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器被植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之90的安全提醒,我们的服务器上并没有运行大量的网站,只是一个公司的展示网站,怎么可能会出现CPU%90以上的告警,然后致电阿里云技术帮忙检查服务器为什么CPU占用这么高,得知服务器被黑,导致挖矿木马,服务器含有...
阿里云服务器挖矿
最新发布
weixin_44034675的博客
05-31 1059
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
记一次挖矿木马的处理
hellomy的专栏
09-29 306
1. 使用crontab -e -u root,查看定时任务, 可以看到有命令 * * * * * /etc/audit/rules.d/gwjncn,将此部分进行移除 2. 使用top查看异常进程,kill -9 干掉主进程和守护进程,主进程是占用CPU最高的进程,守护进程可以识别为命名极为不正常的进程,名称为纯数字或者字母数字组合的为可怀疑对象 3. 查看守护进程systemctl status 进程号,找到对应的启动目录并进行删除 ...
清除wnTKYg 这个挖矿木马的过程讲述
u010789532的博客
04-23 9264
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿木马的过程讲述" title="清除wnTKYg 这个挖矿木马的过程讲述" style
挖矿木马处置流程
weixin_30662011的博客
08-07 772
挖矿事件的处置流程 转载于:https://www.cnblogs.com/loopkep/p/11312775.html
详细部署阿里云服务器全过程(图文教程)
01-09
最近学习了Web开发前后端等技术,便想着将项目部署到云服务器,方便后续管理,顺便学习一下部署云服务器的过程。 购买与连接云服务器 部署云服务器,首先需要的便是购买云服务器,这里我选择的是阿里云服务器,注册...
阿里云服务器18核16G15M200G
08-11
阿里云服务器是一款基于云计算技术的计算资源服务,它提供了弹性的计算能力,让用户可以根据业务需求随时调整服务器配置。"阿里云服务器18核16G15M200G" 这个描述指的是该服务器的基本配置,包括以下几点: 1. **...
ESP8266+STM32+MQTT发送数据到阿里云服务器
04-22
2、将得到的环境数据转化为JSON格式,并且能够使用ESP8266模块将数据使用AT指令通过MQTT协议传输到阿里云服务并展示出来 资源包括了整个软硬件系统的配置和代码,下面是目前有的使用说明,可以看看 [一、配置阿里...
阿里云服务器修改网卡后无法连接怎么办
01-09
阿里云服务器在进行网络配置更改,特别是将动态IP地址(DHCP)更改为静态IP地址时,可能会遇到连接问题。这种情况通常与网络配置文件的错误设置有关。在Linux系统(如CentOS、Ubuntu等),网络接口的配置文件位于`/...
高级运维开发工程师带你处理linux木马挖矿病毒)实战例子
nasen512的博客
07-10 2528
高级运维开发工程师带你处理linux木马挖矿病毒)实战例子。
运维圣经:挖矿木马应急响应指南
qq_61553520的博客
06-14 1088
挖矿:每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网络的正常运行。这个寻找代码获得奖励的过程就是挖矿。但是要计算出符合条件的值需要进行上万亿次的哈希运算,这个过程需要大量的算力,于是部分黑客就会通过入侵服务器的方式来控制别人的计算机帮助自己挖矿
盘阿里云ECS内挖矿程序
ChiChengIT的专栏
04-20 536
1.二话不说先上图,cpu一路飙升在100% 2.进入服务器top命令查看占用cpu的异常进程 3.找到目标PID kill -9 10478 干掉这个进程,没几秒这个Macron的进程又死灰复燃 4.定位Macron目录 ls -l /roc/$PID/exe 定位到发现目标文件为/tmp/Macron,打开此文件发现都是二进制的,啥也看不懂 5.火速干掉此文件r...
记一次阿里云木马排查过程
Ellen_Tangxiang的博客
11-15 408
https://blog.csdn.net/dreamer2020/article/details/98652888
阿里云dos木马及xmrig矿毒
xn1014的博客
01-30 349
删除定时任务cat /etc/crontab,cat /var/spool/cron,删除脚本。修改定时任务权限 chattr +i /etc/crontab。top |grep dos,查询出pid。kill -9 pid杀死进程。找到对应的exe木马位置。rm -rf 删除木马
我的阿里云服务器发现被挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1219
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
删除阿里云服务器minerd挖矿程序
记录
07-02 651
很早之前写的一篇文章放在别的地方,现在搬过来…… 登录服务器,确认用户名和密码都正确,输入三次以后提示:Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). 网上找了各种解决方案,说什么因为在本机ssh目录下生成了,所以需要更服务器进行绑定——并不是,这几个文件,之前就有了,连接服务器也没什么问题,后面又换了台电脑连接服务器,也是不行,至此,可以排除是本机问题了,至于是服务器的问题的话,多次尝试修改密码重启服务器,.
阿里云提醒 网站被WebShell木马后门的处理过程
NicolasLearner的博客
06-12 1039
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx.php。 网站安全事件说明:云盾检测到当成有异常进程在尝试向磁盘上写入WEBSHELL后门文件,导致1次入侵
阿里云ECS服务器安装Java开发环境详解
"这份文档详细介绍了在阿里云服务器ECS上安装Java开发环境的过程,包括JDK8、Tomcat8、Mysql5.7、Redis5.0、Maven3.6以及Jenkins的安装步骤。特别适合初学者,操作系统为CentOS 7.6 64位。" 在阿里云服务器ECS上...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值