阿里云服务器被挖矿问题

最新推荐文章于 2024-06-24 16:24:24 发布
最新推荐文章于 2024-06-24 16:24:24 发布
阅读量9.5k 收藏 9
点赞数 3
分类专栏: Linux

下午发现服务器CPU:

12618 root      20   0  680m  17m 1280 S 699.9  0.1  72:13.24 wnTKYg 

网上收索解决办法copy如下:

下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%

直觉告诉我,一定是木马,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

       知道wnTKYg是什么鬼之后,我不急着杀死它,而是特别好奇它来自何方,怎么进来的,百度上关于它的帖子特别少(这也是我决定写这篇帖子的主要原因),说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:
① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.x xx.xx.xx.xx改了
             修改redis是防止这熊孩子再进来, 下一步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了  /root/.ssh 下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把  /root/.ssh 下的文件都删了,省事了。
       第三步就是要找到所有关于病毒的文件, 执行命令  find / -name wnTKYg*,只有/tmp下有这个文件,删了,然后就去kill wnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill  然后top观察进行变化,终于被我发现了,有一个 /tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是 挖矿工的守护进程,于是把它也杀了,至此,病毒被我解决了,异地登录,安全扫描什么的也被我解决了。
             因为在360安全论坛里留下了我的QQ,很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录 /var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。
             安全问题依然严峻,于是找了一家安全公司--安全狗咨询了下相关的安全业务,发现蛮贵的,都是万开头的,而且我也不知道他们水平怎么样,于是把我遇到的问题跟业务员说了,看看他们怎么解决,怎么收费,谈判了一下午,定价3500,没的再低了, 哎,还是我好,又为公司省了3500。
     
    因为发了这篇帖子,一位和我情况差不多的网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:首先关闭挖矿的服务器访问  iptables  -A  INPUT  -s   xmr.crypto-pool.fr  -j  DROP
iptables  -A  OUTPUT  -d  xmr.crypto-pool.fr  -j  DROP           然后删除yam 文件     用find / -name yam查找yam 文件         之后 找到wnTKYg 所在目录 取消掉其权限   并删除 然后再取消掉 tmp 的权限并删除   之后 pkill  wnTKYg就OK了。
当然,我也咨询了阿里的解决方案,有两个,①找第三方安全公司杀②把数据备份一下,重置系统 
======================================================================================

解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:

1. 修复 redis 的后门,

  1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
  2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
  3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
  4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.


勋彰
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1301
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程
AninZz
04-18 2680
centos 7 记一次阿里云服务器被被种挖矿程序解决的过程 1、原因 偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下 2、查看进程 [root@izwz94xp1kwkcahxd1vey6z /]# top 发现有一个exin的进程cpu使用率高达99% 3、看看是个什么东西 exin的pid为3363 [root@izwz94xp1kwkcahxd1...
阿里云服务器挖矿minerd入侵的解决办法
weixin_30439067的博客
07-18 260
上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到始作俑者...
阿里云服务器挖矿
weixin_44034675的博客
05-31 1164
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
处理阿里云服务器中的恶意挖矿程序
最新发布
weixin_43268590的博客
06-24 659
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云提示服务器有挖矿程序 该如何处理
网站安全专家
12-25 6207
临近2018年底,我们阿里云上的一台ECS服务器竟然被阿里云短信提示有挖矿程序,多次收到阿里云的短信提醒说什么服务器被植入挖矿程序,造成系统资源大量消耗;而且还收到CPU使用率达到百分之90的安全提醒,我们的服务器上并没有运行大量的网站,只是一个公司的展示网站,怎么可能会出现CPU%90以上的告警,然后致电阿里云技术帮忙检查服务器为什么CPU占用这么高,得知服务器被黑,导致中了挖矿木马,服务器含有...
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3807
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云服务器被[kthreaddi]挖矿病毒攻击
chun的博客
05-29 712
首先我根本https://blog.csdn.net/weixin_41599103/article/details/115403332这个博客试了下并没有成功,所以应该是被侵入的程序不一样 先去阿里云里看一下详情 明确告诉了是通过docker被攻击了,先将wordpress容器停止并删除容器和镜像 kill掉进行,如果有定时任务和文件就删掉(命令上面博客里有) 我直接将安全组端口先都关闭了,留下22,然后重启后就好了。 ...
阿里云服务器中了挖矿程序应该如何清除
m0_65455195的博客
12-17 5616
阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程序,你有两种处理方式,一种是使用云安全中心自动清理,另一种是手动清除: 云安全中心处理挖矿程序 1、登录到云安全中心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表中,找到挖矿程序,然后点“处理” 云安全中心安
排查腾讯云服务器被挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6500
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
阿里云服务器中招挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2380
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
阿里云服务器CUP爆满被用来当挖矿机(要疯!!!!)
Coinker的博客
05-14 4705
事件起源于阿里云的短信: 1.然后查看CPU: 我擦,果然饱满 2.尝试Kill掉这个进程,Kill -9 9883 我擦,没两分钟又起来了。 3.查找源文件 find / -name '*bbb*' 4.进入目录 尝试rm掉这个bbb文件,我靠,root用户都删除不了 5.查看系统定时任务调度 crontab -l, 靠源头这是这里 尝试删除定时任务,然后保存 crontab -e 我靠,root也没有权限修改 6.进入定时任务目录(根据上边报错的路径) cd /var/
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 723
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
阿里云服务器挖矿的解决方法
qq_47464056的博客
07-25 4997
云服务器被入侵植入挖矿程序!
详细 解决阿里云服务器CUP爆满被用来当挖矿问题
qq_43688472的博客
06-17 2720
一:问题与现象 1.阿里云服务器短信通知预警 2.xshell 中top命令程序发现cup爆满 二:解决问题 在上面top中显示是hadoop用户下面的进程爆满 所以要在hadoop用户下面操作 ,查看进程如下 解决: 1.crontab -l命定 查看脚本 2.crontab -e 3.用# 把他注释掉 4.因为上面的脚本是wget 我们就用yum remove 把他卸载掉 (卸...
阿里云服务器出现入侵事件:挖矿进程——pool,2024年最新34岁软件测试程序员裸辞
2401_84281601的博客
04-16 350
找出CPU占有率高的你不认识的进程,我的是这样的。删掉里面的while循环,只保留。
阿里云服务器被pnscan挖矿病毒入侵如何解决?
m0_64344919的博客
01-26 1253
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
阿里云服务器挖矿病毒入侵处理
乘风的博客
04-08 3346
前言 近日阿里云上搭建wordpress博客的轻量应用服务器cpu满载运行,第一反应就是被挖矿了,这里记录一下处理过程。 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定时任务 光杀死进程肯定是不够的,这种挖矿程序一般会通过修改系统定时任务,达到再次执行的目的 检查定时任务 执行crontab -e,看到定时任务里面有一个脚本 10 * * * * /root/.systemd-service.sh > /dev/null 2>&1 & 看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值