阿里云服务器被挖矿程序侵入问题

最新推荐文章于 2024-10-01 10:44:30 发布
最新推荐文章于 2024-10-01 10:44:30 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: Linux Gitlab 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/samfaker/article/details/126487894
版权

一、起因

        公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内)。一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程序,部分端口被禁用。于是白天弄完其他事情后开始处理这个挖矿程序。

二、过程

        之前也有服务器被这样搞过,所以想着处理起来应该也很快,结果,并不顺利,下面展开说

2.1 定位挖矿程序位置

  •  先用top命令查看服务器资源占用情况,发现两个用户是git的exe,把CPU占满了
  •  再用lsof -p [pid]查询程序来源,发现是从100.20.97.83.ro.ovo.sc:https这个地方下载过来的,一查,是国外的ip,挖矿程序在执行完后已被删除
  • 使用su git 进度git用户,使用crontab -l 查看有没有定时任务启动,结果发现也没有,好家伙,没有定时任务,也没有执行程序,那应该是守护进程弄的了。根据某度查询,发现是正在使用的gitlab版本有远程漏洞,所以被钻了空子。
  • 停掉gitlab(gitlab-ctl stop)࿰
最低0.47元/天 解锁文章
samfaker
关注
专栏目录
记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应)
墨痕诉清风的博客
11-18 2574
记一次阿里云服务器被被种挖矿程序解决的过程。
个人第一台阿里云付费服务器挖矿木马攻陷的补救措施
chinassj的博客
04-09 913
以前玩过腾讯,阿里,华为的免费服务器,都是又卡又慢,身为22世纪祖国的花朵,经过知识付费的熏陶,我义无反顾的终止了我的白嫖行为,然而努力让自己变得更好的路上总是有各种坑。。。。 服务器背景: 操作环境背景: 操作系统:Windows 10 操作工具:xshell(Free for Home/school) 故事背景: 拿到服务器后,创建了一个普通用户:shaun ;密码:12345...
服务器被黑客攻击,用来挖矿,怎么办?
m0_63171455的博客
02-23 2753
昨天下午一个朋友和我说,他的服务器阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖...
记一次阿里云linux服务器中毒处理
九韭酒的博客
11-18 2066
记一次阿里云linux服务器中毒处理事件定位进程人肉筛查clamav来源参考 事件 阿里云告警: 您的云服务器(XXXXX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(XXX)的访问,阻断预计将在XXXXXX时间内结束,请及时进行安全自查。 登录服务器(Ubuntu 16.04.4 LTS),发现CPU满载,docker下的jekins各种重启。 定位进程 top命令,发现CPU占用...
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
最新发布
m0_64422133的博客
10-01 1092
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
阿里云被恶意脚本执行,疑似挖矿
weixin_46531837的博客
01-10 857
服务器阿里云,恶意脚本,挖矿
阿里云服务器挖矿怎么办
网站安全专家
02-11 5111
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云服务器挖矿
weixin_44034675的博客
05-31 1293
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 992
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1953
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3883
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2449
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
记录阿里云服务器被minerd和kworkerds感染作祟,
逐浪青舟的博客
09-03 7724
2018-09-01周五阿里云云盾通知检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理) 1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟, 2、果断ps -ef | grep ‘minerd’查看pid, 3、使用kill -9 程序的pid 杀死掉, 4、到 cd /tmp/下...
阿里云日志服务:轻松解决大规模日志数据的存储和管理问题
明飞的博客
12-05 1639
阿里云日志服务(Log Service)是一项旨在实现大规模日志数据采集、存储、检索和分析的云计算服务。作为阿里云大数据生态圈的一部分,日志服务为用户提供了强大而灵活的工具,以满足不同规模和类型业务的日志管理需求。
阿里云Centos7挖矿程序根除分析
tangbin0505的博客
12-08 1607
1、top查看,找占CPU高的进程,看cpu占用率 2、使用命令ps -aux --sort=-pcpu|head -10查找,果然找到了这个程序带有Ssl 记下pid  3、进去6646目录     cd /proc/6646(木马pid) ) 4、用ll命令查看  [root@izwz9hcixm5361yy4uz40az 6642]# ll total 0 dr-xr-xr-x 2 ro...
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 880
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云服务器挖矿程序攻击
戴着红领巾走世界
02-08 961
删除恶意脚本文件,直接rm删除不了,需要修改下文件的属性 cd /etc/ rm -f newinit.sh #查看文件属性 lsattr newinit.sh #修改文件属性 chattr -ia newinit.sh 查看定时任务中是否有任务,如果有就删除了此定时任务 * /30 * * * * sh /etc/newinit.sh >/dev/null 2>&1 直接用crontab -e删除没有权限 ...
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 4554
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值