阿里云被恶意挖矿的处理方法

最新推荐文章于 2024-10-19 17:36:50 发布
最新推荐文章于 2024-10-19 17:36:50 发布
阅读量1.1k 收藏 4
点赞数 1
文章标签: 阿里云 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55809729/article/details/133527900
版权

谁能想到一个小小的2U4G服务也会被挖矿。。。

但是在排查过程中涨了见识,特此记录

可惜短信没包含怎么清理恶意挖矿软件,只能自己动手百度了

一上线就看到自己的账户密码被暴力破解了(大家用云服务器要搞强密码啊!网络世界太危险了吧!)

1. 先执行top看一下到底是哪个程序cpu占用率高了

第一条的启动命令很可疑

后两条框出来的程序 只剩下用户ID也很奇怪  (我这台机器没装Redis和Prometheus)

2.  检查一下这个PID是什么进程

执行 ls -l /proc/{PID}/exe  

进程指向一个损坏的软连接 感觉不太妙 这样没法删除了

先用kill -9 PID 试一下能不能杀掉该进程

发现杀了以后又很快恢复了

猜测这个进程是有个主进程或者守护进程的 再执行top观察一下哪些进程有关系

找到一个进程感觉很像主进程,一看软连接也是损坏的 ,估计没跑了

kill -9 杀了

虽然软连接损坏了,但这个启动脚本肯定存在过,用find再根目录找一把,发现存在在docker的overlay2里,docker ps -a看一下发现并没有这个container ID。(看来是被暴力破解了以后用docker跑了挖矿软件) 先kill了再说

之后再执行top发现了一个奇怪的启动命令,百度了一下xmrig正是个挖矿软件,看来是找到它了

ps -ef | grep chrony 

chrony百度看是个时间同步的软件,现在来看感觉这个xmrig是利用了这软件(这算不算漏洞啊。。而且这个xmrig藏得还有点深的,涨见识了啊)

都kill了 一个不留!

这个时候CPU已经降下来了 

但是!但是! 关于xmrig的脚本都消失了 没法看它的工作原理 难受了 下次不会先删了! 

3.  这里引申出一些没想过的问题

比如docker的overlay2层是可以删除的吗

配了无法登录的用户有可能成为其他程序的执行用户(借刀杀人),应该怎么防护

Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3986
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 767
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..
阿里云服务器被挖矿怎么办
网站安全专家
02-11 5174
春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟市场中,虽然虚拟经历了暴跌的情况,但是服务器被挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1192
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2737
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
阿里云服务器中了挖矿程序应该如何清除
m0_65455195的博客
12-17 5989
阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程序,你有两种处理方式,一种是使用云安全中心自动清理,另一种是手动清除: 云安全中心处理挖矿程序 1、登录到云安全中心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表中,找到挖矿程序,然后点“处理” 云安全中心安
阿里云服务器中招挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
阿里云CPU占用率90%被植入挖矿木马的解决方法
qq_35692642的博客
03-14 5101
目录问题总结 问题 最近几日突然发现服务器CPU占用率满了 我一开始还没在意,但是当打开警告内容的时候心脏骤停 查了一下,发现应该是被别人植入木马挖矿了,使用top命令看了一下CPU占用,发现有个python进程cpu占用率直接拉满,而且总是定时启动,没法直接使用kill杀死进程 使用 vim /var/log/cron 查看了一下计划任务,果然不对劲 但是使用crontab -l查看,什么也没有 网上查了一下,发现可能是木马可能是从6379端口进来的,使用lsof -i:6379看了一下,几百
排查腾讯云服务器被挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6643
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
服务器被种植挖矿程序,恶意访问ip等等。
Prodigal
07-01 1225
阿里云服务器安全中心的警告。 根据信息, 删除一些文件后。发现过一段时间又出现了。 top查看可以看到又两个程序占用资源很高。 一个是sysupdate,一个是networkservice. 这两个都在etc下。 下面图中的ip就是下载源。 在etc/update.sh中也有相同的地址。 解决方式 在/etc/下找到下面的文件,rm -rf 删除下面的文件。 如果出现提示无法删除。则使用chattr -i 文件名取消限制,然后再删除。 在/usr/bin/下找到以下文件,然后删除下面的文件。
阿里云服务器被挖矿的解决方法
qq_47464056的博客
07-25 5213
云服务器被入侵植入挖矿程序!
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2382
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云服务器挖矿异常处理
最新发布
山路曲折盘旋,但毕竟朝着顶峰延伸
10-19 1386
挖矿行为需要强大的算力支持,所以其一定会占用大量的cpu 资源,所以我们以此关键点展开,检查使用cpu资源较高的进程。云服务器中被恶意安装了脚本,然后脚本运行占用了大量的cpu 和内存,触发了云服务器监控的告警;点击详情可以看到路径: /tmp/networkSync。重新用top命令,查看cpu占用情况。kill -9 进程。
阿里云服务器被挖矿
weixin_44034675的博客
05-31 1656
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云服务器中挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 9106
1、cpu过高,中病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很高的进程,跳到第七步 2、发现了占用率很高的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器中显示c.
阿里云服务器中挖矿病毒处理方法
X1992W的博客
03-17 544
先备份一下之前的快照,保留备用 通过TOP命令查看进程 发现PID:31961的.libs进程异常,查他的进程详细信息 [root@iZwz9c4z4opmg9ze4ohbmkZ ~]# netstat -lntupa |grep .lib tcp 0 0 172.18.4.104:51562 107.172.214.23:80 ESTABLISHED 31961/.libs 发现异常IP:107.172.214.23,在阿里云安全组添加一条阻止记录 杀掉
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5358
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
阿里云服务器被挖矿病毒入侵处理
乘风的博客
04-08 3499
前言 近日阿里云上搭建wordpress博客的轻量应用服务器cpu满载运行,第一反应就是被挖矿了,这里记录一下处理过程。 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定时任务 光杀死进程肯定是不够的,这种挖矿程序一般会通过修改系统定时任务,达到再次执行的目的 检查定时任务 执行crontab -e,看到定时任务里面有一个脚本 10 * * * * /root/.systemd-service.sh > /dev/null 2>&1 & 看
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
NicolasLearner的博客
07-22 5455
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值