阿里云服务器被植入挖矿程序

最新推荐文章于 2025-05-01 10:53:24 发布
最新推荐文章于 2025-05-01 10:53:24 发布
阅读量323 收藏 5
点赞数 9
分类专栏: linux 文章标签: 阿里云 服务器 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44678969/article/details/147631783
版权

一、现象

在这里插入图片描述
如上图所示,CPU几乎被第一个进程给吃满了!!!

二、解决步骤

(1)查找这个进程的文件在哪里

readlink -f /proc/26572/exe
readlink命令的作用:
- 查看某个程序实际执行路径
- 检查软链接真实指向
- f选项含义:
递归解析所有符号链接,并返回该文件的最终绝对路径。

(2)此时我找到这个文件在我的根目录下,然后查看文件内容:
在这里插入图片描述
在这里插入图片描述
如图全是乱码,而且还是死循环的显示!!!

(3)kill这个进程,删除对应文件
在这里插入图片描述
杀掉这个进程,并删除对应文件。CPU的使用率断崖式下降!!!

(4)排查是否有异常的ip地址

netstat -ant | awk '$6 == "ESTABLISHED" {print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
解释:
统计所有已建立的 TCP 连接中,每个远程 IP 出现的次数(即连接数),并按数量从高到低排序。
netstat -ant  //列出所有 TCP 连接(a: 所有,n: 显示IP和端口数字,t: TCP连接)
awk '$6 == "ESTABLISHED" {print $5}' //从结果中筛选出状态为 ESTABLISHED 的连接(表示通信已建立),
输出第 5 列,即远程 IP:端口
cut -d: -f1 // 用 : 分隔字段,仅保留 IP 地址部分,去掉端口号
sort //对所有 IP 地址进行排序
uniq -c //对相同 IP 地址进行去重,并统计其出现次数
sort -nr //按连接数从大到小排序(n:数字,r:倒序)

如果只有几个连接,就可以手动查每个ip的所属地,对于异常地址的IP直接利用iptables给禁掉。如:

//封禁所有来自该 IP 的访问
iptables -A INPUT -s x.x.x.x -j DROP
//同时阻止你访问对方
iptables -A OUTPUT -d x.x.x.x -j DROP
//验证
iptables -L -n | grep x.x.x.x
iptables -L -n 用于查看当前防火墙规则列表
-L(List) //列出所有的防火墙规则
-n(numeric) //以数字形式显示 IP 地址和端口号,不进行 DNS 解析

三、总结

出现这个问题的原因有两个:
(1)云服务器的安全组中开放了所有端口
(2)密码太弱(导致被暴力破解登录)

记一次解决阿里云服务器植入挖矿病毒
hghjgkjn的博客
06-23 1789
解决阿里云服务器植入挖矿病毒
解决阿里云服务器植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5290
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
解决阿里云服务器被恶意挖矿问题
lj_heaven的博客
08-18 5022
解决阿里云服务器被恶意挖矿问题
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
m0_64422133的博客
10-01 1689
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
阿里云服务器挖矿
weixin_44034675的博客
05-31 1643
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1544
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
记录阿里云挖矿程序入侵
weixin_40660221的博客
07-30 673
起因 今早阿里云提示我ECS服务器上有挖矿程序(c_sh),CPU使用率维持在99%。 系统为centos8 阿里云告警提示(我手动处理了的告警,初始界面没保留) 处理 top命令查看到31911端口的c_sh进程占用90%多的CPU使用率 先是让阿里云自己处理(杀掉挖矿程序),但是top命令查看这个挖矿程序又换了32366端口启动 原本挖矿程序的路径是/proc/31911/root/root/c_sh,杀掉c_sh进程之后再找/proc/31911/root/root/c_sh发现文件不存在。top命
阿里云服务器提示被用来挖矿
m0_53434091的博客
02-10 602
近期想再使用服务器了,但是想到之前服务器挖矿,所以就决定重置磁盘,然后发现确实不被挖矿了,然后第二天就开始给服务器安装软件...JDK、MySQL、Redis、Tomcat....等等一些软件。之前被在阿里购买了一个服务器,后来一直没用,就有短信提示被挖矿,也没有在意,随手就给关闭服务器了(因为没有买阿里云提供的防护,所以不知道是哪里出了问题)别人就可以通过Redis向系统注入本地公钥到服务器的/root/.ssh/authorized_keys中,然后就可以在本地免密登录你的服务器了。
阿里云服务器被中木马去挖矿解决方法
qq_74806534的博客
02-20 1万+
终端,输入top命令,看看什么占cpu,01tuvwx,网上没有查了,没有相关服务,应该就是这个了,关键他是root用户,说明我的服务器被提权了,因为一般的话我见过的木马都是www-data用户。发现还是没有但是有个文件是最近添加的,不管是不是的,直接删了(这里可能木马就已经没有了)今天大早上阿里云给我打电话说我的服务器挖矿行为,说我不关了就把我服务器收了。立马打开服务器一看cpu占了99.6%,好好好,中马。查看了最近异常登录,气笑了,直接上的,连忙改密码去了。到这里重启服务器,cpu就降下去了。
gitlab漏洞导致服务器植入挖矿程序
u013662310的博客
12-01 3679
gitlab版本升级GitLab rce (CVE-2021-22205) 服务器上gitlab又被利用来挖矿 挖矿程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞 GitLab rce (CVE-2021-22205) 影响的 GitLab版本: 11.9 <= GitLab(CE/EE)< 13.8.8 13.9 <= GitLab(CE/EE)< 13.9.6 13.10 <= GitLab(CE/EE)&l
张大哥笔记:服务器挖矿木马程序,该如何处理?
qq1369153265的博客
04-29 1024
挖矿是跟区块链以及虚拟币有关系,虚拟币是挖矿挖出来的,每间隔一段时间,比特币或者以太坊虚拟币就会在他们的区块链系统上生成一个块的随机代码,网络上的所有服务器都可以去找这个随机代码,也就是挖矿的过程对这个随机代码进行挖掘,谁挖到这个代码就会产生一个区块链的块,那么比特币跟以太坊就会奖励找到随机代码的人,奖励一定数量的虚拟币,那么挖矿的人就会有动力去挖矿,去维护整个区块链节点的网络正常运行,挖矿需要计算哈希值需要服务器的处理能力,所以有些攻击者利用入侵别人服务器来给自己挖矿获取利润。
服务器被种植挖矿程序,恶意访问ip等等。
Prodigal
07-01 1222
阿里云服务器安全中心的警告。 根据信息, 删除一些文件后。发现过一段时间又出现了。 top查看可以看到又两个程序占用资源很高。 一个是sysupdate,一个是networkservice. 这两个都在etc下。 下面图中的ip就是下载源。 在etc/update.sh中也有相同的地址。 解决方式 在/etc/下找到下面的文件,rm -rf 删除下面的文件。 如果出现提示无法删除。则使用chattr -i 文件名取消限制,然后再删除。 在/usr/bin/下找到以下文件,然后删除下面的文件。
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
阿里云dns服务器不可用怎么办?dns可以随便改吗?
聚搜营销
04-30 1009
阿里云dns服务器不可用怎么办?dns可以随便改吗?:优先尝试更换公共DNS或重启设备。修改DNS:可以自由更改,但需选择可靠服务商,避免隐私泄露或网络异常。普通用户推荐使用主流公共DNS(如Google或Cloudflare)。
阿里云 Ubuntu 24.04 上部署 RabbitMQ:一篇实战指南
最新发布
吃面不喝汤的博客
05-01 191
RabbitMQ 是业界常用的开源消息中间件,支持 AMQP 协议,易于部署、高可用、插件丰富。本文以阿里云 ECS 上运行的 Ubuntu 24.04 LTS 为例,手把手带你完成 RabbitMQ 从仓库配置到运行的全流程,并分享在国内环境下常见的坑与对应解决方案。仓库 502/无效:使用 RabbitMQ 官方 Cloudsmith 签名,避开 Erlang-Solutions 国内网络屏蔽。sources.list 解析错误deb行不要带反斜杠续行,改为单行格式。IPv6 不可达。
阿里云 OpenManus 实战:高效AI协作体系
热门推荐
定期分享我的发现和想法,感谢你的陪伴和支持
04-29 2万+
● 在完成所有任务后,主动总结每个平台的特点与处理逻辑,体现了极高的可解释性和自优化潜力。✅ 每个阶段都不是简单的执行,而是带着理解和推理去完成,真正练习了 OpenManus 作为多智能体系统的强大智能与实用价值。这次实际应用到跨境电商商品描述生成的案例,让我真切感受到了OpenManus在多平台、多规范、多需求产品处理中的巨大优势。从需求分析,到模型调用,到文案生成,再到不同平台的风格润色与审核,每一步智能体之间的契合都非常、自然专业,真正体现了系统性的工程思维。
【MCP教程系列】如何自己打包MCP服务并部署到阿里云百炼上【nodejs+TypeScript】搭建自己的MCP【Cline】
程序员猫爪
04-28 454
登录阿里云百炼平台,在平台上创建一个新的自定义MCP服务。根据提示填写相关信息,包括服务名称、版本号等。
阿里云ftp服务器登录要怎么做?如何访问ftp服务器
聚搜营销
04-28 1110
常用工具:FileZilla(免费)、WinSCP(Windows)、Cyberduck(macOS)等。如果需要更详细的指导,请提供具体场景(如使用的工具、操作系统或错误提示)。:FTP(不安全)、FTPS(加密)、SFTP(基于SSH的安全传输)。,成功后会显示服务器文件列表(左侧为本地文件,右侧为服务器文件)。按回车键,即可浏览和下载文件(部分浏览器可能不支持上传)。使用支持加密的协议(如SFTP/FTPS)。:默认21(FTP)或22(SFTP)(SFTP),具体取决于服务器配置。
02_使用 AES 算法实现文件加密上传至阿里云、解密下载
wgy17734894660的博客
04-28 341
使用 AES 算法实现文件加密上传至阿里云、解密下载
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值