记一次阿里云服务器被感染挖矿病毒ZIGW处理

最新推荐文章于 2024-05-31 12:43:11 发布
最新推荐文章于 2024-05-31 12:43:11 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Linux 文章标签: zigw 挖矿 cpu占用高 阿里云 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37698433/article/details/84839672
版权

记一次阿里云服务器被感染挖矿病毒ZIGW处理

  1. 背景:有一天忽然发现阿里云部署的网站一打开本地cpu就跑满,然后到阿里云网站查看说是有感染zigw挖矿病毒。然后登陆阿里云服务器,用top命令查看看到cpu使用率有一个程序是使用率到了300%,然后一查说是有个挖矿病毒,按照网上的方法解决了,把linux服务器中的病毒删掉了。但是网站打开还是cpu占有率很高。下面附解决方法。

  2. 参考资料https://blog.csdn.net/sayWhat_sayHello/article/details/83988443
    按照上面网址中的办法就可以吧linux服务器中的病毒杀掉了,但是如果你网站也被感染的话,还需要下面操作。

  3. 原因:根据查询被挖矿感染的原因是我服务器中使用了redis,我把redis配置文件设置成可以外网访问。就是我可以用RedisDesktopManager这个redis可视化工具连接到,也就是这个为挖矿的留下了漏洞。
    redis安装配置资料:https://www.cnblogs.com/renzhicai/p/7773080.html
    http://www.cnblogs.com/dami-xiaomi/p/9242405.html
    照着上面俩个连接就可以安装redis并配置好了。
    上述配置存在问题:其中有个配置文件中要修改#127.0.0.1这个位置,
    修改redis.conf文件中的几个配置项
    将bind 127.0.0.1改为#bind 127.0.0.1(即注释掉)这个位置,是为了远程可以访问reidis的功能。但是这样处理就为挖矿程序留下漏洞。所以自己试的时候可以注释掉,但是生产环境时候还是只能本地访问比较好。我后面解决远程访问就是修改的这里。改为只能本地访问。

  4. 按上面的步骤改完以后服务器本地是没什么问题了,但是之前部署的网站打开cpu占用还是基本满的。按照网上说法是挖矿程序感染了网站的js文件,既然感染了,那我把网站文件删掉冲新打包部署后就可以了。
    在这里插入图片描述
    上图是chrome浏览器打开被感染网站F12以后看到的。画红框的都是js注入的内容,在本地起了8个线程,一直在使用本地资源挖矿,然后指向了右边那个站点,我ping了一下是台湾高雄的站点。
    这种情况就需要重新打包部署网站。完了以后就没问题了。

如有帮助请支持:()
在这里插入图片描述

易菲
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
阿里云服务器挖矿病毒minerd***的解决方法
weixin_33758863的博客
12-28 483
早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器CPU的资源占用,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法。下面是我把minerd给杀掉的过程,希望对大家有帮助。步骤如下:1、关闭访问挖矿服务器的访...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1245
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云服务器挖矿
最新发布
weixin_44034675的博客
05-31 1074
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2134
一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
阿里云CentOS病毒排杀
This My Life - chisj
12-03 1007
1、查看CPU消耗 # top 2、查看进程信息 # ls -lah /proc/23397/ 进程号23397就是通过top查询出来的异常进程 3、删除源文件 # rm -rf zigw rm: cannot remove `zigw': Operation not permitted 提示没有权限,通过chattr移除权限 # chattr -aij zigw 同样的方法删除s...
项目测试之redis小结--安全问题,解决zigw进程,bind配置,收到阿里云的短信
成君的博客
11-25 803
遇到的问题: 1、zigw挖矿病毒,--kill掉后反反复复重现 2、配置bind ip后 ./redis-server redis.conf启动没有报错,ps aux|grep redis也没显示到进程   问题原因: 原本在阿里云部署的redis,1是没有设置密码,2没有配bind ip,导致当外网访问redis的时候,被“矿鸡”劫持。问我怎么知道? 症状:访问项目首页的时候整个页...
阿里云ESC服务器踩坑集合
王文萱的博客
03-08 606
阿里云ESC服务器安装tomcat后无法远程访问
阿里云自变异病毒处理-clamav
ba_pi的博客
07-14 761
阿里云自变异病毒处理 前几天因为yapi的一个漏洞,导致服务器遭受攻击。说一下处理流程。 1.通过top查找占用cup和内存的可疑程序。 2.通过进程号找到按照目录,删除文件,停用程序。 一开始我就是这么干的,没过多久,阿里云报了一个自变异病毒,我准备去查询进程号,使用netstat,ps,lsof命令我发现不对劲了,没有任何反应 登录到服务器查询/bin目录,文件大小不对,可以明确感染文件不止一处,所以需要通过软件进行全盘扫描。linux下比较常见的杀毒工具是clamav,于是决定安装扫描全盘。 二、安
一次阿里云ECS被挂挖矿代码的处理历程
惟愿莲心不染尘
07-06 1526
起因: 公司手机收到阿里云提示短信,检测到ECS服务器出现紧急安全事件:访问恶意下载源 于是访问阿里云管理平台查看到如下信息 处理过程一: 连接到服务器,htop查看到有可疑进程,吃掉了服务器2vcpu中的1个 发现在找个进程前面,有一个CROND ,说明确实有定时任务 于是接下来主要就是要找到这个定时任务 通过 systemctl list-unit-files|grep enabled 能看到有个crond.service定时服务 所以上网看了下crond服务...
阿里云服务器被pnscan挖矿病毒入侵如何解决?
m0_64344919的博客
01-26 1216
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
阿里云服务器挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 8080
1、cpu,中病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很的进程,跳到第七步 2、发现了占用率很的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器中显示c.
阿里云服务器挖矿病毒处理方法
X1992W的博客
03-17 464
先备份一下之前的快照,保留备用 通过TOP命令查看进程 发现PID:31961的.libs进程异常,查他的进程详细信息 [root@iZwz9c4z4opmg9ze4ohbmkZ ~]# netstat -lntupa |grep .lib tcp 0 0 172.18.4.104:51562 107.172.214.23:80 ESTABLISHED 31961/.libs 发现异常IP:107.172.214.23,在阿里云安全组添加一条阻止录 杀掉
阿里云服务器挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
阿里云提示ECS实例存在挖矿活动的处理
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
04-18 3398
今天接到阿里云的电话语音提醒,说是经检测你有一台云服务器实例存在挖矿活动,要求尽快处理。对此,我有两个疑问,一是阿里云怎么知道的,二是如何处理这种问题。 先用ssh登录到云服务器看看再说。使用“top -c”命令看一下哪个进程占用cpu和memory最,发现也没有啊,看来这个挖矿进程没有工作呢!接着再用“ps -ef”看一下有哪些进程。结果让我吓一跳,出现很多下面的: root 15081 922 0 13:56 ? 00:00:00 CROND root 1
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
zzf1510711060的博客
10-11 1万+
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...
2018最新出现的勒索病毒及变种统计丨阿里云河南
aliyunhn的博客
03-14 9134
阿里云河南:该段时间出现的勒索病毒及变种统计。一、 Relec勒索病毒2月16日,发现Relec勒索病毒,该勒索病毒目前处在开发阶段,并不会加密文件。从提示的勒索信息上看,加密文件后会勒索1个比特币;从样本文件上看,该勒索病毒会伪装成pdf进行传播。 二、 DeadRansomware勒索病毒2月16日,发现DeadRansomware勒索病毒,根据勒索信息,DeadRansomware勒索病毒加...
云主机被挖矿病毒感染处理过程
小明和一群狗子们
05-27 5939
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
董哥的黑板报
05-15 1万+
一、事情缘由 前段时间给大家录制《玩转Docker》教学视频,链接请参阅https://www.bilibili.com/video/BV1BK4y1A78M,为了更好的演示,就在阿里云搞了一个云服务器,自己本地连接。 云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用。 开放了剩余的其他所有端口:录制教学视频时启动了相关容器,容器的一些固定端口6379等映射到了宿主机的随机端口上,为了能从公网访问到容器的内容,就开放
一次解决阿里云挖矿病毒(kthreaddk)方法
imning1的博客
06-06 1692
通过top命令查看占用的是这个进程,杀掉之后重复操作
[问题已处理]-阿里云与本地机房中挖矿病毒处理,又又又中毒了
爷来辣的博客
09-21 1060
导语:被挖矿的现象是cpu异常的。正常服务被系统杀掉。 先是发现线上业务挂了。紧接着发现本地机房也挂了。判断病毒应该是由本地机房的跳板机或者开放的端口,或dubbo框架漏洞进来的 基本判断是confluence最新的漏洞导致的 http://www.hackdig.com/09/hack-465498.htm 刚好看到防火墙有之前做的映射暴露出去 后期防火墙可以设置白名单 会用java去下脚本 官方临时升级办法 可能这台机子已经被注入,依旧不行,阿里云还是会告警。 如需要查看完整感染脚本 c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

易菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值