Linux服务器被挖矿及解决办法

最新推荐文章于 2024-05-26 18:21:37 发布
最新推荐文章于 2024-05-26 18:21:37 发布
阅读量2.6k 收藏 4
点赞数 2
分类专栏: Linux服务器管理 文章标签: 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40939094/article/details/122380415
版权

记录一次Linux服务器被挖矿的经历(chattr文件权限被改)及解决办法

服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin)修改,这里分两种情况:

一般情况

采用lsattr文件查看不能删除文件(例如temp.txt)的属性

lsattr temp.txt

得到如下结果
在这里插入图片描述
该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。用chattr文件去除该属性后,即能够正常删除该文件,具体命令如下:

sudo chattr -i temp.txt

再次查看temp.txt的属性

lsattr temp.txt

此时,得到如下结果,则该文件能够被正常删除了。
在这里插入图片描述

特殊情况

特殊情况,挖矿的人还会进一步篡改或者替换chattr文件(例如,给chattr文件增加了ia的属性),因此chattr文件不再具有更改temp.txt文件属性的能力,也就意味着无法删除temp.txt,那么ta就能继续挖矿了。在这种情况下,需要重新下载一个chattr文件,具体过程如下:

下载chattr对应的c文件,上传到服务器任意位置(例如/home)

下载地址:chattr.c

采用gcc编译chattr.c文件,得到文件a.out
sudo gcc chattr.c
修改a.out文件名为chattr
mv a.out chattr
用编译好的chattr文件,去除掉原本的chattr文件增加的属性(i和a),之后删除原有的chattr文件
sudo ./chattr -ia /usr/bin/chattr

sudo rm -rf /usr/bin/chattr
把编译好的chattr文件拷贝到/usr/bin中
sudo cp -r chattr /usr/bin

之后的操作和一般情况中介绍的一致。

PS

下面的两个方法可以加强服务器的安全性,如果只想了解如何删除文件的话,则不需要看下述的内容了。

关闭root用户远程登录权限

打开ssh的配置文件,关闭root用户的远程登录权限
sudo vi /etc/ssh/sshd_config

把PermitRootLogin这一行后面的yes或者prohibit-password改为no

重启sshd服务
sudo service sshd restart

修改ssh默认登录端口号22

打开ssh的配置文件,添加新端口
sudo vi /etc/ssh/sshd_config

在Port 22这一行下方的任意添加一个Port端口号(例如1234,端口号的范围0~65525)

Port 22
Port 1234
重新启动ssh
sudo service ssh restart
设置防火墙,允许通过新添加的端口号(1234)访问【默认修改端口前已开启防火墙 sudo ufw enable,且允许端口22访问】
sudo ufw allow 1234
重开一个终端,使用新端口(1234)通过ssh远程登录
ssh -p 1234 userid@ip地址

输入密码后,可以顺利登录,则继续下面的步骤

删除默认端口22

打开ssh配置文件

sudo vi /etc/ssh/sshd_config

删除Port 22这一行,再重新启动ssh服务

sudo service ssh restart
参考
  1. https://blog.csdn.net/weixin_44233841/article/details/105812937
  2. https://blog.csdn.net/id19870510/article/details/5701227
  3. https://blog.csdn.net/alex1997222/article/details/79328965
littlewhitesea
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次 Linux 被入侵,服务器变“机”全过程.docx
12-25
记一次 Linux 被入侵,服务器变“机”全过程
Linux运维基础视频.zip
最新发布
06-13
1-11、服务器与云服务器介绍 1-12、操作系统与计算机 1-13、Linux介绍 1-14、Unix介绍 1-15、 linux历史与发行版选择 1-16、mware虚拟机介绍 1-17、windows安装vmware15+centos7 1-18、(补)windows安装vmware工具 1-...
记一次Linux被入侵,服务器变“机”全过程
yeluoxiang的专栏
06-13 4683
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
linux 服务器CPU被的一个解决方法
m0_51789083的博客
04-04 2111
发现 敲代码的时候阿里云来了个电话,说你的服务器疑似,还发了个邮件, 人直接懵了,就去阿里云看看,一看cpu直接一直100%, 开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键) 还发了安全警告 解决过程 上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪
Linux】记一次服务器(lambsys和procq)
Purepil的博客
05-26 652
周五凌晨一台测试服务器了,根据进程相关的文件lambsys和procq搜索没有搜到相关的东西,也是弄了好久。没想到第二天又有一台服务器了,因此记录一下。注意:只针对该种,且治标不治本。如果知道如何入侵的,希望能告知top -c显示进程和占用top -c。
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理病毒
Senoh的博客
09-30 3349
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
linux服务器被植入木马程序的解决过程记录。
weixin_38067745的博客
12-24 4784
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
Linux - 服务器.Xr1病毒解决记录
LeyiChen_X的博客
08-13 1131
2. 问题定位1. 发现问题开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程2. 问题定位2.1 通过top命令查看, 发现 xr文件, CPU占用过高, 服务器运行时间长了, 会出现很多xr的进程 (这里只有两个是因为刚重启过)2.2 进入进程文件夹, 查看进程文件信息, 才发现是根目录下的 .XL1的隐藏文件2.3进入/.Xr1文件夹可以看到有一个执行文件和一个配置文件2.4查看配置信息可以看到里面有。
linux服务器被植入程序一些处理
weixin_43570089的博客
09-27 1104
环境:服务器在dmz区,安装有weblogic11,jdk1.6,1.7,1.8,还有redis 推测:redis安装为免密登录,这个漏洞造成中毒(不确定) 1、开发人员发现cpu使用率99%+(有时超过100%哦) 2、发现异常proecho占用近乎全部cpu资源。kill proecho,一会就重新启动 3、查看proecho发现在工作目录和/tmp目录下有疑似文件,删除。 查看定时任务,清除...
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
linux服务被植入(2t3ik与ddgs)解决方式
piaodangdeyouzi的专栏
08-08 921
已处理过多台服务器,目前没再被植入,按照以下步骤可行: 1、安装杀毒软件ClamAV https://www.cnblogs.com/duoyi/articles/clamav.html 2、删除植入的代码、定时任务 a、查看占有内存高的进程, top b、删除对应的进程 kill -9 ID c、删除tmp下对应的文件 rm -rf  /tmp/文件2t3ik与ddgs...
Linux病毒入侵解决方式
我只不过想上天罢了的博客
06-19 1031
前段时间突然发现cpu一直飙满100%使用率,但是查看自己服务却没有发现占用,流量也在不断增加,chu无奈只能重启n次服务器尝试,无果。尝试网上搜索,无果。
Linux服务器kdevtmpfsi病毒解决方法
qq_39845279的博客
04-08 1272
转自:Linux服务器kdevtmpfsi病毒解决方法:治标+治本_Cupster的博客-CSDN博客_/tmp/kdevtmpfsi 1.编写shell脚本 vim /tmp/kill_kdevtmpfsi.sh; ps -aux | grep kinsing |grep -v grep|cut -c 9-15 | xargs kill -9 ps -aux | grep kdevtmpfsi |grep -v grep|cut -c 9-15 | xargs kill -9 rm
入侵Linux系统排查步骤
aischang
04-11 8960
一、注意事项 1. 在做入侵排查前使用命令HISTFILE=/dev/null,将本次shell下执行的命令不写入.bash_history中避免干扰之前的历史命令,该命令仅针对当次shell有效,重开shell后需要重新执行该命令。 2. 在确定找到恶意文件或被入侵的原因之前,切勿杀死恶意进程或重启系统,否则会破坏现场。 3. 可能存在ps、netstat、ls等命令异常,可能是已被攻击者或病毒木马等替换,此时需要及时删除这些命令文件,使用正确的文件,以便于再次启动恶意文件。 检查方法: 可.
LINUX 常见性清除脚本,临时抱佛脚的
80后大叔爱学习
03-19 597
#!/bin/bash chattr -ia /root/.ssh/authorized_keys echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQDIt/0OkmcUUxrIzRrkuiG26zkLWQpvT91P/uehmMYYUdA3+WQCcgw/IKp+/RkUwUTkiAbz26cFfATHrgy9RyTOKMquoMSQqWKZtcH90S59ootbvRqdEDcoPRC8OeabRAZCj7eNWPFxKvfZbxWHRdZioavzTWx8Cor
Linux病毒清理通用思路
dayouzi的博客
04-19 3632
在被植入病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux服务器被植入病毒后初步解决方案
qq_24274689的博客
07-22 3690
linux服务器被植入病毒后初步解决方案
linux 被入侵怎么解决
07-15
如果您的 Linux 系统被入侵并被用于,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值