解决阿里云服务器被恶意挖矿问题

已于 2023-05-17 00:45:51 修改
阅读量4.7k 收藏 16
点赞数 7
分类专栏: java 运维 文章标签: 服务器 阿里云 运维
于 2022-08-18 12:09:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lj_heaven/article/details/126399447
版权
java 同时被 2 个专栏收录
19 篇文章 2 订阅
订阅专栏
运维
3 篇文章 0 订阅
订阅专栏
本文详细讲述了阿里云服务器遭遇恶意挖矿的问题,包括高危漏洞、资源占用和黑客入侵路径。重点介绍了如何通过绑定IP、设置访问密码、修改Redis运行账号权限,以及使用chattr命令删除和修改文件属性来解决攻击。
摘要由CSDN通过智能技术生成

解决阿里云服务器被恶意挖矿问题

一.出现问题现象以及原因

出现现象:阿里云控制台出现高危应急漏洞,其次CPU和内存都打满;经过问题详情的查看, 发现攻击者是在etc目录下植入一个zzh和zzhs的文件;
在这里插入图片描述
出现原因:在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 SSH 远程登录控制服务器,给用户的 Redis 运行环境以及 Linux 主机带来安全风险,如删除、泄露或加密重要数据,引发勒索事件等;
预防方案:
①绑定需要访问数据库的IP,修改 redis.conf 中的 “bind 127.0.0.1” ,改成需要访问此数据库的IP地址;
②设置访问密码,在 redis.conf 中找到“requirepass”字段,在后面填上你需要的密码;
③修改redis服务运行账号,请以较低权限账号运行redis服务,且禁用该账号的登录权限。

二.解决方法

# 进入etc文件夹
cd /etc
# 查看zzh和zzhs文件的权限
ll | grep zzh
# rm删除zzhs文件,但zzh不能删除,权限不够
rm -rf zzhs
# 显示zzh的文件属性,会发现其带有ia参数
# a:Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件,而不允许删除任何文件。
# i:Immutable,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。
lsattr zzh
# 删除其ia属性
chattr -ia zzh
# 执行上一条命令,如果出现Permission denied,则进入/usr/bin目录;如果没出现则直接执行:rm -rf zzh 删除zzh文件
cd /usr/bin
# 查看chattr权限
ls -lh chattr;lsattr chattr
# 接下来更改该命令权限,复制chattr的副本chattr.new
cp chattr chattr.new
# 给所有用户文件可执行权限
chmod a+x chattr.new
# 用chattr.new修改chattr文件属性
chattr.new -i chattr
# 删除chattr.new文件
rm -f chattr.new
# 给chattr授权
chmod a+x chattr
# 重新查看chattr权限
ls -lh chattr;lsattr chattr
# 回到zzh所在的文件夹
cd /etc
# 删除其ia属性
chattr -ia zzh
# 删除zzh文件
rm -rf zzh

注:
chattr命令用于改变文件属性;
不带参数执行或使用–help获得帮助信息。

+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数。
= :更新为指定参数设定。
A:即Atime,告诉系统不要修改对这个文件的最后访问时间。
S:即Sync,一旦应用程序对这个文件执行了写操作,使系统立刻把修改的结果写到磁盘。
a:即Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件,而不允许删除任何文件。
b:不更新文件或目录的最后存取时间。
c:将文件或目录压缩后存放。
d:当dump程序执行时,该文件或目录不会被dump备份。
D:检查压缩文件中的错误。
i:即Immutable,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。
s:彻底删除文件,不可恢复,因为是从磁盘上删除,然后用0填充文件所在区域。
u:当一个应用程序请求删除这个文件,系统会保留其数据块以便以后能够恢复删除这个文件,用来防止意外删除文件或目录。
t:文件系统支持尾部合并(tail-merging)。
X:可以直接访问压缩文件的内容。

chmod命令是修改文件权限,共10 位,第1位是文件类型,如下所示:

d 代表目录(directroy)
- 代表文件(regular file) 
s 代表套字文件(socket) 
p 代表管道文件(pipe)或命名管道文件(named pipe)
l 代表符号链接文件(symbolic link) 
b 代表该文件是面向块的设备文件(block-oriented devicefile) 
c 代表该文件是面向字符的设备文件(charcter-oriented device file)

2-4位表示文件所有者的权限值,5-7位表示群组用户的权限值,8-10位则表示其他用户的权限值。

r权限值为4,w权限值为2,x权限值为1,eg:7 = 4 + 2 + 1 读写运行权限,5 = 4 + 1 读和运行权限,4 = 4 只读权限;
“a”表示所有用户,“u”表示创建者、“g”表示创建者同组用户、“o”表示其他用户;
“+”表示添加权限,“-”表示取消权限;
“r”表示读权限、“w”表示写权限、“x”表示执行权限;

lj_heaven
关注
  • 7
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1294
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
QT连接阿里云服务器的MySql数据库示例
06-10
在本文中,我们将深入探讨如何使用QT框架连接到阿里云服务器上的MySQL数据库。QT是一个流行的开源C++开发框架,广泛用于构建跨平台的桌面、移动和嵌入式应用程序。而阿里云提供了稳定可靠的云服务器服务,是许多企业...
记录一次服务器被入侵(恶意挖矿)的问题
BaseLike的博客
02-12 5467
一、问题描述 阿里云服务器这段时间一直发送报警信息,如下图所示: 二、问题解决过程 我对这些报警都没太在意,直到有天我登录宝塔界面,发现登录的过程非常的卡顿,用xshell连接服务器(包括敲命令行)非常卡顿,这时候我才逐渐 重视这个问题。 通过执行top命令以及宝塔页面的数据显示可以看出cpu资源被占的满满的: 下面我将详细说说我的解决步骤: ①因为考虑到我低配置的服务器运行了es,redis等服务,我觉得可能是因为配置太低导致了cpu负载超标,于是我重启了服务器。但发现重启后依旧是cpu占用打满。
阿里云服务器挖矿解决方法
qq_47464056的博客
07-25 4965
服务器被入侵植入挖矿程序!
阿里云服务器挖矿
weixin_44034675的博客
05-31 1128
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3778
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云服务器挖矿怎么办
网站安全专家
02-11 5074
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云服务器挖矿minerd入侵的解决办法
weixin_30439067的博客
07-18 259
上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到始作俑者...
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2251
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
解决阿里云服务器短时间连接自动断开问题
01-09
当SSH远程命令或者远程工具登录阿里云服务器,ssh root@47.107.* 时,经常会发现SSH连接后一会儿客户端就被服务器T掉。一般上,是因为SSH连接没有设置保活 解决方法有两个:1、设置SSH客户端保活,2、要不设置SSH...
阿里云Linux服务器配置及问题解决.docx
03-19
本文将详细介绍如何配置Linux环境,包括连接服务器、安装Java、JDK以及MySQL,并解决常见的问题。 首先,要连接到阿里云Linux服务器,可以使用Final Shell或Windows自带的PowerShell。在Windows上,确保系统已经...
阿里云服务器18核16G15M200G
08-11
阿里云服务器是一款基于云计算技术的计算资源服务,它提供了弹性的计算能力,让用户可以根据业务需求随时调整服务器配置。"阿里云服务器18核16G15M200G" 这个描述指的是该服务器的基本配置,包括以下几点: 1. **...
阿里云服务器修改网卡后无法连接怎么办
01-09
如果以上方法都无法解决问题,建议直接联系阿里云的技术支持,他们能提供更专业的诊断和解决方案。 在处理这类问题时,耐心和细心是关键,每一步操作都可能影响到网络连接。记得在修改重要配置之前备份原有文件,...
处理阿里云服务器中的恶意挖矿程序
最新发布
weixin_43268590的博客
06-24 607
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 667
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
完美解决linux编译动态库出现问题:ERROR: ld.so: object LD_PRELOAD cannot be preloaded: ignored
热门推荐
源代码杀手的博客
03-19 2万+
报错记录: apt update ERROR: ld.so: object './libadd_c.so' from LD_PRELOAD cannot be preloaded (cannot open shared object file): ignored. ERROR: ld.so: object './libadd_c.so' from LD_PRELOAD cannot be preloaded (cannot open shared object file): ignored. ERROR:
ERROR: ld.so: object '/usr/local/lib/lbb.so' from /etc/ld.so.preload cannot be preloaded (cannot ope
zhanghenan123的博客
03-21 1万+
出现问题中病毒了,执行如下操作即可完全解决 echo "" > /etc/ld.so.preload chattr +i /etc rm -rf /var/spool/cron/* rm -rf /etc/cron.d/* chattr +i /var/spool/cron/ rm -f /usr/local/lib/lbb.so chattr +i /usr/local/lib ki...
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 4183
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
阿里云服务器部署IIS网站详细教程
"阿里云服务器网站部署教程" 本文将详细介绍如何在阿里云服务器上部署网站,包括购买服务器、配置IIS服务器以及设置安全访问规则,以确保外部可以安全地访问您的网站。 一、购买阿里云服务器 1. 注册阿里云账号,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值