记录阿里云被挖矿程序入侵

最新推荐文章于 2024-05-31 12:43:11 发布
最新推荐文章于 2024-05-31 12:43:11 发布
阅读量605 收藏
点赞数
分类专栏: 服务器 阿里云 文章标签: 阿里云 挖矿程序 服务器安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40660221/article/details/107690951
版权

起因

最近在学习开源项目mall,买了一个最低配的阿里云ECS服务器
今早阿里云提示我ECS服务器上有挖矿程序(c_sh),CPU使用率维持在99%。
系统为centos8
阿里云告警提示(我手动处理了的告警,初始界面没保留)
在这里插入图片描述
同时我的docker镜像中多了一个felilca/ubuntu
在这里插入图片描述
这个镜像还创建了一个容器
在这里插入图片描述

处理

top命令查看到31911端口的c_sh进程占用90%多的CPU使用率。

先是让阿里云自己处理(杀掉挖矿程序),但是top命令查看这个挖矿程序又换了32366端口启动。

原本挖矿程序的路径是/proc/31911/root/root/c_sh,杀掉c_sh进程之后再找/proc/31911/root/root/c_sh发现文件不存在。top命令查看到它占用32366端口之后,找到/proc/32366/root/root/c_sh文件并强制删除。同时不再开放不必要的端口,之后系统正常,目前12小时没有再次发生告警。

原因

应该是我开放了一些端口,这个挖矿程序是通过15672端口(rabbitmq)向我的服务器下载了程序。阿里云也提示了我高危安全规则:
在这里插入图片描述
将自己机器绑定固定IP之后,在安全规则的授权对象选项改成自己的IP不知道可不可以解决这个问题(本来是0.0.0.0,表示所有IP)。

希望有经验的大佬可以指点一下服务器安全方面的知识

HardCorePlayer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云服务器被程序侵入问题
samfaker的博客
08-23 1252
gitlab漏洞引起的无文件、无定时任务的程序解决方法
阿里云+微信小程序+定位
最新发布
06-06
通过阿里云物联网平台,将SIM800M32的lbs经纬度坐标发送到阿里云平台,并通过规则引擎转发数据至微信小程序,然后在地图上显示位置。
阿里云服务器被
weixin_44034675的博客
05-31 1007
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云服务器被怎么办
网站安全专家
02-11 5058
春节刚开始,我们SINE安全,发布了2018年服务器被的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器被的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云服务器被?kdevtmpfsi 进程CPU100%
New_CJ的博客
05-28 534
收到阿里云警告服务器中蠕虫病毒,进行top 大致是这样的,kdevtmpfsi 的CPU占满, ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 可以找到对应的PID kill -9 PID 2个都得杀 find / -name kdevtmpfsi find / -name kinsing 再rm 掉这样文件。。。。。。。。。 然而事情并没有这么简单。。过了会它又恢复了。。然后就删了恢复删了恢复。。。 最后发现 Docker镜..
你知道小伙伴们的阿里云服务为什么会被ru侵,是怎么ru侵的吗?
热门推荐
LoveSummer
08-15 3万+
分布式拒绝服务攻击(,简称DDoS)是指处于不同位置的多个攻击者同时向个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。攻击类型:一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;...
记一次阿里云服务器被的经历
key_768的博客
04-17 1万+
大早上起来,发现被“”了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 会出现这种占有99.9%的进程 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
记一次处理阿里云服务器被
u014442879的博客
12-30 1309
一个名为kdevtmpfsi进程,大量占用CPU,阿里云报警,被,查询后确定为docker容器镜像带的病毒 常规处理,进程杀不死 处理方法 1 kdevtmpfsi有守护进程,单独kill掉kdevtmpfsi进程会不断恢复占用。守护进程名称为kinsing,需要kill后才能解决问题。 ps -ef | grep kinsing kill -9 '父进程' 2 全局查找带有kdevtmpf...
微信小程序阿里云OSS-sdk
08-16
阿里云OSS-sdk,大小536KB 微信小程序纯前端从阿里云OSS下载,可直接引用 文章地址:https://blog.csdn.net/qq_44695727/article/details/132154404
基于阿里云、小程序、Arduino的WS2812灯控系统.zip
06-16
在这个项目中,用户通过微信小程序界面发送RGB颜色和开关状态指令,这些指令经过小程序的逻辑处理后,被发送到阿里云服务器。 然后,WS2812是一种常见的RGB LED灯带芯片,它内置了控制逻辑,能够实现单线串行通信,...
微信小程序上传图片到阿里云oss
09-27
本项目是关于如何将微信小程序中的图片上传至阿里云OSS的实践教程。 首先,我们需要理解微信小程序的生命周期和API。在小程序中,我们可以使用`wx.chooseImage` API来让用户选择图片,然后使用`wx.uploadFile` API...
程序上传阿里云图片
11-30
为了在小程序中使用阿里云OSS进行图片上传,我们需要在阿里云控制台创建一个Bucket,并获取AccessKeyId和AccessKeySecret,这两个是访问阿里云服务的身份验证凭证。 接下来,我们要在小程序的配置文件`app.js`或...
阿里云服务器被的解决方法
qq_47464056的博客
07-25 4903
云服务器被入侵植入程序
记一次解决阿里云服务器被植入病毒
hghjgkjn的博客
06-23 1659
解决阿里云服务器被植入病毒
解决阿里云服务器被植入脚本过程
拽着尾巴的鱼儿的博客
06-21 3926
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被,而且要在一定期限内解决问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器的流程,记录的不全面,欢迎各路大神探讨交流。
记录一次阿里云服务器被程序攻击及处理
Crayon
11-26 1374
top命令发现该程序占用了200%CPU kill掉程序发现第二天仍然会生成该程序,crontab -l 发现存在该定时任务 crontab -e 命令编辑定时任务,删除该定时任务
我的阿里云服务器发现被中【程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1073
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云服务器遭受程序入侵的清理之战
NicolasLearner的博客
04-02 887
1. 背景 最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了程序攻击。操作系统为centos7。 2. 排查 (1)使用top命令,cpu使用率很少,几乎为0,该图只是演示,不是当时情况,当时情况:cpu使用率为0,空闲100%,明显很有问题 这个时候,说明程序改变你的服务器,看到的并不真实,这个时候需要一个命令:vmstat 你会发现us为99 id几乎为0 (2)查看Linux的定时任务cron,使用命令crontab -l 命令查看所有的定时任
藏经阁-构建阿里云物联网小程序.pdf
09-10
随着云计算与物联网技术的发展,阿里云作为国内领先的云服务提供商,其在2019年推出了全面的小程序生态系统,包括支付宝小程序、香港版支付宝小程序、淘宝小程序、钉钉小程序、高德小程序、mPaaS小程序、天猫小程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值