服务器病毒问题解决- 阿里云 挖矿病毒,Circle_MI.png

最新推荐文章于 2024-03-20 06:30:45 发布
最新推荐文章于 2024-03-20 06:30:45 发布
阅读量2.3k 收藏
点赞数
分类专栏: linux

http://blog.51cto.com/chaojiit/1924111


今天我们的服务器 CPU 跑满了,最后发现是中了两个病毒,病毒有时是恶意毁坏你的数据,有的为了当做肉机,

wKiom1k2EbHSHsKrAACbHC3gNZ4983.jpg-wh_50

当你遇到机器本身没跑什么东西,但是很慢的情况下,可以top 看一下机器的使用情况


如果发现使用率很高 而且你还不知道的,那么你可以确认一下它是否是病毒进程

如果是病毒经常 那么直接 kil - 9 pid

有一部分,杀了它还会新建 进程,这样的话你可以看一下 定时器里是否有病毒

crontab -l; 查看

crontab -r 删除


最好 也查看一下/etc/crontab


然后在kill -9 pid 这个顽固的 病毒进程

随便把这个 病毒通讯的ip 在防火墙给屏蔽了



然后又是病毒,是以脚本控制的,当你kill掉进程,那么它还是会重新 生成恶意进程或者破坏,

查找病毒进程的启动文件,


补充一下,redis 6379端口尽尽量不要对外没有条件的开放,你懂得

————————————————————


其它参考:



Redis3未授权访问漏洞导致服务器被入侵

http://blog.csdn.net/odailidong/article/details/72881386


今天在腾讯云上搭的开发环境里的一台机器cpu load飚升老高,然后还能登陆上去,top后发现两个可疑进程、/root/目录下有修改过的文件、/opt目录被干掉了,

后经分析,这台机器上有redis外网服务,/root目录下还有个READ_ME.txt,  内容如下:



中招了,快哭了,两个可疑进程


在腾讯云上找到篇处理步骤:

Redis 默认情况下,会绑定在 0.0.0.0:6379,这样会将 Redis 服务暴露到公网上,在Redis服务器没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下成功在Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器进行远程控制,使您的主机沦陷为肉鸡,敏感数据泄漏,为避免您的业务受影响,建议您及时进行加固。

【漏洞概述】
Redis 默认情况下,会绑定在 0.0.0.0:6379,导致Redis服务暴露到公网上。
如果在没有开启认证并且在任意用户可以访问目标服务器的情况下,从而可以未授权访问Redis服务,进一步可进行数据增删改查,甚至获取服务器权限等恶意操作。

【风险等级】
   高风险

【漏洞风险】
主机被远程控制,泄漏敏感业务数据;

【漏洞利用条件】
1 Redis服务以root账户运行;
2. Redis无密码或弱密码进行认证;
3. Redis监听在0.0.0.0公网上;

【加固建议】
1. 禁止Redis服务对公网开放,可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ,去掉前面的"#"即可(Redis本来就是作为内存数据库,只要监听在本机即可);
2. 设置密码访问认证,可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 (需要重启Redis服务才能生效);
3. 对访问源IP进行访问控制,可在防火墙限定指定源ip才可以连接Redis服务器;
4. 修改Redis默认端口,将默认的6379端口修改为其他端口;
5. 禁用config指令避免恶意操作,在Redis配置文件redis.conf中配置rename-command"RENAME_CONFIG",这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度;
6. Redis使用普通用户权限,禁止使用 root 权限启动Redis 服务,这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限,无法获取root权限;

【清理木马】
如果您的云主机已经被利用并上传了木马,参考木马清理方案如下:
1 阻断服务器通讯。
(如iptables -A INPUT -sxmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -jDROP)
2 清除定时器任务。
(如systemctl stop crond 或者crontab –e 删除未知的计划任务)
3 删除木马和未知公钥文件。
(如  /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh/中未知授权;chmod –x 恶意程序)
4 终止木马进程。
(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill /root/.httpd)
5 终止恶意service
(查看是否有恶意的服务,如lady - service ladystop)


附:

腾讯的公告:http://bbs.qcloud.com/thread-30706-1-1.html

pois
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云服务器病毒处理方法
X1992W的博客
03-17 463
先备份一下之前的快照,保留备用 通过TOP命令查看进程 发现PID:31961的.libs进程异常,查他的进程详细信息 [root@iZwz9c4z4opmg9ze4ohbmkZ ~]# netstat -lntupa |grep .lib tcp 0 0 172.18.4.104:51562 107.172.214.23:80 ESTABLISHED 31961/.libs 发现异常IP:107.172.214.23,在阿里云安全组添加一条阻止记录 杀掉
阿里云服务器
最新发布
weixin_44034675的博客
05-31 1024
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云病毒查杀
weixin_30784501的博客
11-23 328
日常登录开发机。登录时发现很慢。心想肯定又又又中毒了(之前就经常各种攻击) 登录后top -》 cpu 97% 但进程里占用高的最高也才1%呀(很是奇怪) 无奈又想把htop安上于是yum install -y htop 没想到的是htop也查不到进程 各种办法后登录阿里云控制台,查看了下机器进程。果然 top四个进程平均25% 看了下名字kworkerds ...
阿里云 qW3xT.4 病毒问题
qq_21566775的博客
12-13 569
查了一下。是个病毒,cpu 占用巨高 。杀了又有守护进程启动。网上有些杀死这个病毒的办法,大家可以试试。但是不确定能杀死。 建议直接重装系统。 然后,说说这货怎么传播的。 他公国redis 。目前中毒的 共同点就是 安装了 redis 并且没有设置密码。 而且都是阿里云。 查看一一下中毒时间。大概在网上 3 点。明显了,有人 利用redis 的 漏洞。固定在 去请求 阿里云的内网网ip。找...
阿里云病毒解决
weixin_39766667的博客
02-20 2052
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了病毒,如何处理它?
Android -- Circle_Menu....zip
03-13
在Android开发中,"Circle_Menu"通常指的是一个设计独特的用户界面元素,它呈现为一个圆形的菜单,当用户触发某个动作时,如点击或者滑动,这个菜单会以旋转或展开的方式显示一系列的操作选项。这样的设计既美观又...
Hough-Circle-Detect3.rar_LOAN_TestImg_CHT_a2.b_hough circle dete
09-24
在这个名为"Hough-Circle-Detect3.rar"的压缩包中,包含了一个特定的应用案例,即对"Loan TestImg CHT a2.b"图像中的圆进行检测。这个程序的目的是展示如何利用霍夫圆检测算法来识别并定位图像中的圆形物体。 霍夫...
Hough-circle-detection.rar_circle detection_houghcircle matlab
07-13
这个一个用matlab语言写的,用Hough算法来检测圆的源程序,实用性好
bg_circle.png
08-19
本人用于微信小程序人脸识别模块相机样式优化的遮挡图片,仅供学习使用。camera组件圆形框遮挡图片 camera组件圆形框遮挡图片
circle_fit.rar_IMAQ Fit Circle_circle_fit.rar_matlab 圆_圆 拟合_圆半径
07-14
毕设,圆拟合程序,使用最小二乘法。 输出圆心,半径。
记录aliyun.one病毒
大鱼的博客
04-26 736
莫名其妙就中了病毒: WARNING! The remote SSH server rejected X11 forwarding request. Last login: Sun Apr 26 09:43:15 2020 from 182.148.48.144 [root@VM_0_9_centos ~]# curl: (6) Could not resolve host: aliyun...
阿里云服务器病毒入侵处理
乘风的博客
04-08 3261
前言 近日阿里云上搭建wordpress博客的轻量应用服务器cpu满载运行,第一反应就是被了,这里记录一下处理过程。 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定时任务 光杀死进程肯定是不够的,这种程序一般会通过修改系统定时任务,达到再次执行的目的 检查定时任务 执行crontab -e,看到定时任务里面有一个脚本 10 * * * * /root/.systemd-service.sh > /dev/null 2>&1 & 看
记一次解决阿里云服务器病毒
食鱼酱的博客
06-19 1418
个人的阿里云服务器发现程序,top发现cpu占用贼高, kill掉之后又会启动。 灵性crontab -e, 发现确实是有个叫update.sh的脚本会自动执行。 "*/30 * * * * sh /etc/update.sh >/dev/null 2>&1" >> ${crondir} 可是修改crontab保存失败 于是查看update.sh,发现update.sh中有这样的一段代码, 占用cpu高的文件名也在里面,打算干掉这几个文件。 chmod 777 .
我的阿里云服务器发现被中【程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1115
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
kworker是什么,又什么用
热门推荐
lyblyblyblin的博客
02-22 6万+
名字的意思 什么时候有的 这么看 系统中查看 显示的内容怎么看 有什么用 参考名字的意思Kernel Worker什么时候有的kworker是3.x内核引入的这么看系统中查看Linux下使用 ps -ef|grep kowrker显示的内容怎么看显示的格式kworker/%u:%d%su:是unbound的缩写,代表没有绑定特定的CPU,kworker /u2:0中的 2 是 work_pool 的
服务器管理】Ubuntu的一次惊心动魄的查杀病毒的经历:病毒伪装成python
陈艺荣
01-15 9666
本文讲解了笔者在2022年1月份进行病毒杀毒的完整过程!
centos7系统服务器 ---- kworkerds病毒排查过程
跪下叫我怕怕的博客
03-04 7728
kworkerds病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
遭遇“病毒——TagMiner以及杀毒的尝试
qq_42418728的博客
07-27 1382
后续可能被黑客再次关顾。这里可以看到,这个文件通过doos.pid文件生成随机的pid,然后一旦发现进程被杀死,就使用生成的pid启动新进程,这样就导致永远都无法靠kill-9命令杀死进程。由于需要校外访问处于内网中的服务器,于是服务器上面使用了内网穿透的软件,在开启内网穿透的两周后,服务器的显卡被匿名为“Python”程序的所高频占用。这里可以发现,此文件会启动后台数据库,收集数据,又发现病毒文件中包含一个叫nano.backup的文件,应该是用到了nano微型服务器进行数据传输。........
修改代码使图中的小圆绕大圆圈的圆心以200圈每秒的速度进行圆周运动:import turtle import math # Set up the turtle screen screen = turtle.Screen() screen.bgcolor("white") screen.title("Circle with Moving Black Dot") # Create the turtle for drawing the circle circle_turtle = turtle.Turtle() circle_turtle.speed(0) circle_turtle.hideturtle() circle_turtle.penup() circle_turtle.goto(0, -80) circle_turtle.pendown() circle_turtle.color("black") circle_turtle.circle(80, 2880) # Create the turtle for drawing the black dot dot_turtle = turtle.Turtle() dot_turtle.speed(0) dot_turtle.hideturtle() dot_turtle.penup() dot_turtle.goto(40, 0) dot_turtle.pendown() dot_turtle.color("black") dot_turtle.begin_fill() dot_turtle.circle(4) dot_turtle.end_fill() # Calculate the angle increment for each frame of animation angle_increment = 1 / 60 # 200 degrees per second, 60 frames per second # Animate the movement of the black dot while True: dot_turtle.clear() angle = dot_turtle.heading() + angle_increment x = 40 * math.cos(math.radians(angle)) y = 40 * math.sin(math.radians(angle)) dot_turtle.goto(x, y) dot_turtle.begin_fill() dot_turtle.circle(6) # 小圆 dot_turtle.end_fill()
05-26
circle_turtle.circle(80, 2880) # Create the turtle for drawing the black dot dot_turtle = turtle.Turtle() dot_turtle.speed(0) dot_turtle.hideturtle() dot_turtle.penup() dot_turtle.goto(40, 0) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值