记一次阿里云服务器被感染挖矿病毒ZIGW处理

最新推荐文章于 2024-05-31 12:43:11 发布
最新推荐文章于 2024-05-31 12:43:11 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Linux 文章标签: zigw 挖矿 cpu占用高 阿里云 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37698433/article/details/84839672
版权

记一次阿里云服务器被感染挖矿病毒ZIGW处理

  1. 背景:有一天忽然发现阿里云部署的网站一打开本地cpu就跑满,然后到阿里云网站查看说是有感染zigw挖矿病毒。然后登陆阿里云服务器,用top命令查看看到cpu使用率有一个程序是使用率到了300%,然后一查说是有个挖矿病毒,按照网上的方法解决了,把linux服务器中的病毒删掉了。但是网站打开还是cpu占有率很高。下面附解决方法。

  2. 参考资料https://blog.csdn.net/sayWhat_sayHello/article/details/83988443
    按照上面网址中的办法就可以吧linux服务器中的病毒杀掉了,但是如果你网站也被感染的话,还需要下面操作。

  3. 原因:根据查询被挖矿感染的原因是我服务器中使用了redis,我把redis配置文件设置成可以外网访问。就是我可以用RedisDesktopManager这个redis可视化工具连接到,也就是这个为挖矿的留下了漏洞。
    redis安装配置资料:https://www.cnblogs.com/renzhicai/p/7773080.html
    http://www.cnblogs.com/dami-xiaomi/p/9242405.html
    照着上面俩个连接就可以安装redis并配置好了。
    上述配置存在问题:其中有个配置文件中要修改#127.0.0.1这个位置,
    修改redis.conf文件中的几个配置项
    将bind 127.0.0.1改为#bind 127.0.0.1(即注释掉)这个位置,是为了远程可以访问reidis的功能。但是这样处理就为挖矿程序留下漏洞。所以自己试的时候可以注释掉,但是生产环境时候还是只能本地访问比较好。我后面解决远程访问就是修改的这里。改为只能本地访问。

  4. 按上面的步骤改完以后服务器本地是没什么问题了,但是之前部署的网站打开cpu占用还是基本满的。按照网上说法是挖矿程序感染了网站的js文件,既然感染了,那我把网站文件删掉冲新打包部署后就可以了。
    在这里插入图片描述
    上图是chrome浏览器打开被感染网站F12以后看到的。画红框的都是js注入的内容,在本地起了8个线程,一直在使用本地资源挖矿,然后指向了右边那个站点,我ping了一下是台湾高雄的站点。
    这种情况就需要重新打包部署网站。完了以后就没问题了。

如有帮助请支持:()
在这里插入图片描述

易菲
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
阿里云服务器挖矿病毒minerd***的解决方法
weixin_33758863的博客
12-28 482
早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器CPU的资源占用,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法。下面是我把minerd给杀掉的过程,希望对大家有帮助。步骤如下:1、关闭访问挖矿服务器的访...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1069
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云服务器挖矿
最新发布
weixin_44034675的博客
05-31 1005
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2014
一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
阿里云CentOS病毒排杀
This My Life - chisj
12-03 1005
1、查看CPU消耗 # top 2、查看进程信息 # ls -lah /proc/23397/ 进程号23397就是通过top查询出来的异常进程 3、删除源文件 # rm -rf zigw rm: cannot remove `zigw': Operation not permitted 提示没有权限,通过chattr移除权限 # chattr -aij zigw 同样的方法删除s...
项目测试之redis小结--安全问题,解决zigw进程,bind配置,收到阿里云的短信
成君的博客
11-25 802
遇到的问题: 1、zigw挖矿病毒,--kill掉后反反复复重现 2、配置bind ip后 ./redis-server redis.conf启动没有报错,ps aux|grep redis也没显示到进程   问题原因: 原本在阿里云部署的redis,1是没有设置密码,2没有配bind ip,导致当外网访问redis的时候,被“矿鸡”劫持。问我怎么知道? 症状:访问项目首页的时候整个页...
阿里云ESC服务器踩坑集合
王文萱的博客
03-08 604
阿里云ESC服务器安装tomcat后无法远程访问
阿里云自变异病毒处理-clamav
ba_pi的博客
07-14 757
阿里云自变异病毒处理 前几天因为yapi的一个漏洞,导致服务器遭受攻击。说一下处理流程。 1.通过top查找占用cup和内存的可疑程序。 2.通过进程号找到按照目录,删除文件,停用程序。 一开始我就是这么干的,没过多久,阿里云报了一个自变异病毒,我准备去查询进程号,使用netstat,ps,lsof命令我发现不对劲了,没有任何反应 登录到服务器查询/bin目录,文件大小不对,可以明确感染文件不止一处,所以需要通过软件进行全盘扫描。linux下比较常见的杀毒工具是clamav,于是决定安装扫描全盘。 二、安
阿里云服务器挖矿的解决方法
qq_47464056的博客
07-25 4902
云服务器被入侵植入挖矿程序!
云服务器中挖矿病毒了怎么办?
编码人生
11-22 7443
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器中挖矿病毒了,一般情况下中了挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
阿里云服务器挖矿怎么办
网站安全专家
02-11 5058
春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器被挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云服务器---排查挖矿病毒
lvxiucai的博客
02-06 4054
1.背景 一次排查挖矿病毒的过程,其实都是按照阿里云官方教程操作,其中有些操作命令需要重点录下,为后面生产环境做铺垫学习。 2.现象 近期测试服务器有黑客通过redis的6379端口入侵,然后阿里云发送报警信息,然后登录控制台发现以下报警信息: 3.恶意文件删除 原先还担心 /etc/sysguard 是不是系统自带的,后来,检查看了下其他机器/etc目录下,都无此文件。遂放心...
阿里云服务器挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
一次服务器中病毒挖矿事件处理
大漠知秋的加油站
04-18 2850
  事情是这样的,发现 RabbitMQ 服务响应非常慢,可以说是基本不响应、无法提供服务了。这时就去服务器上面查看,发现 CPU 的资源被一个叫做UxYhf8的程序严重占用。 第一次处理   看到 CPU 飙升太,发现这个程序也不是自己所知道的任何一个程序,所以就怀疑中挖矿病毒了。首先把这个程序给kill掉,只能先kill掉了,不然卡的都快无法操作了。 # 34534:挖矿程序的 pid ...
阿里云服务器CUP爆满被用来当挖矿机(要疯!!!!)
Coinker的博客
05-14 4694
事件起源于阿里云的短信: 1.然后查看CPU: 我擦,果然饱满 2.尝试Kill掉这个进程,Kill -9 9883 我擦,没两分钟又起来了。 3.查找源文件 find / -name '*bbb*' 4.进入目录 尝试rm掉这个bbb文件,我靠,root用户都删除不了 5.查看系统定时任务调度 crontab -l, 靠源头这是这里 尝试删除定时任务,然后保存 crontab -e 我靠,root也没有权限修改 6.进入定时任务目录(根据上边报错的路径) cd /var/
阿里云服务器中毒‘Kirito666’经历
06-20 1714
阿里云服务器中毒‘Kirito666’经历 尊敬的 xxx: 云盾云安全中心检测到您的服务器:服务器出现了紧急安全事件:恶意脚本代码执行 。 早上阿里就一直给我发来这样的消息,让我一脸懵逼,当时还没想到是被黑了。(学编程,但是对于这块区域还算是小白)。 但是阿里一直提醒我,并且强行给我限制了性能。 等到我去连我服务器上的数据库时,一直断,并且非常卡顿,我的伙伴也过来问我怎么了。 这个时候我感到不对劲了(因为我一直比较相信阿里,安全方面应该没事,就觉得没什么关系)。 这个时候我打开了我的xshell。打开d
阿里云服务器存在恶意挖矿程序
NicolasLearner的博客
04-27 881
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[PID]/目录下查看 exe文件,找到 进程对应的启动文件。 但是删掉这些文件还没有用,文件又被创建。 经上网查询.
阿里云服务器挖矿病毒解决方法
慌途L
04-01 4468
公司一直用的阿里云服务器进行生产环境的部署,但是最近某一台服务器上的CPU使用率一直达95%以上,经过排查项目和代码、定时脚本等,都未发现问题根源,但是有一个文件的占用 排查:查看CPU占用率 在服务器上使用命令:top -c 查看进程运行的信息列表 再按下大写的:P 使进程按照CPU使用率排序 类似下图(这里只做演示,非实际情况): 然后可以看到 /usr/local/lib/.libs 占用cpu 再接着就是杀进程(这里要排除不是自己的项目所涉及到的) 但是每次杀完之后,CPU就降了下去
云服务器CPU一直占用病毒排查,服务器被黑,服务器中挖矿病毒挖矿机xmrig病毒排查及解决
zhazha0807的博客
03-04 5054
收到阿里云发来的通知“【挖矿处置通知】请尽快整改云服务挖矿活动”,"经检测您的阿里云服务器上存在疑似挖矿活动……";盖帽的话不说了,直接上排查思路及解决方法; 1、先用top命令查看一下服务器资源情况,发现一个进程一直持续cpu:200%;录下pid。然后先skill 掉试试,cpu恢复正常后,马上又启动了新进程; 2、然后推测是有定时任务或者某些机制进行触发的启动,先检测一下定时任务: 这里注意使用:crontab -l 查询到无定时任务,然后由于进程的User是 git ,然后换成: cro
阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 616
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

易菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值