关于Linux 服务器被侵入变成矿机的记录(执行用户hilde)

最新推荐文章于 2021-09-07 17:59:42 发布
最新推荐文章于 2021-09-07 17:59:42 发布
阅读量1.8k 收藏 3
点赞数 3
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44766368/article/details/115317941
版权

虚机被入侵之后会将以下的内容进行修改:

1. 与进程、网络以及一些其他的命令移除执行权限, 而后使用chattr (参数+ia)命令进行限制修改, 导致这些命令不能被正常使用. 
2. /etc 目录下的用户账密相关文件 /etc/passwd   /etc/shadow 进行限制修改,
3. 新建的执行用户hilde 家目录所有文件文件夹(包括远程免密登录的公钥)都被限制修改.
4. root家目录下相关隐藏文件夹 .ssh 及认证文件被限制.

建议通过以下步骤进行解决:

1.从另外一台主机远程scp chattr 命令到该虚机, 解除top kill  ps等相关命令的执行限制, 获取执行脚本的相关文件所在位置,先把运行着的挖矿程序干掉,再清除掉执行文件.
2. 写个循环将 /sur/bin  目录下的文件全部 chattr -ia  过一遍,添加相应的执行权限. 
3. 备份/var/log/cron  文件, 里面有入侵后远程获取的定时任务的脚本文件及脚本地址.虚机被入侵后,secure 的所有记录会被清除.
4. 移除入侵的执行用户hilde, 解除该用户家目录及root家目录的修改限制,将远程目录 .ssh 清理干净.
		(补充:将入侵用户的信息移除后可以通过登录文件实现ip黑名单或者添加防火墙规则做一些防护;)
6. 运行自己的程序即可.

建议: 这次入侵主要是由redis的执行用户为root和默认运行端口的漏洞导致的,建议使用redis之前先进行密码的修改和默认端口的修改.此外.建议限制访问服务器的ip 范围及实现ip黑名单.

weixin_44766368
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
排查腾讯云服务器被挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6431
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
嘉楠发布阿瓦隆浸入式冷却矿机A1066I
qq_37367026的博客
01-06 487
据Cointelegraph报道,比特币矿机制造商嘉楠发布阿瓦隆浸入式冷却矿机A1066I。A1066I的电气组件浸没在一种特殊的介电液中,该介质可将热量直接从电路板上带走。嘉楠称A1066I比其顶级的风冷矿机A1246具有更好的性能。 文章链接:https://www.tuoluocaijing.cn/kuaixun/detail-149874.html 更多资讯:https://www.tuoluocaijing.cn ...
排查通过服务器中 redis 的漏洞植入 pnscan 病毒进行挖矿
pkyShare 的博客
05-17 825
1 描述   最近买了一台云服务器进行学习研究,然后装了 redis,怎想到了某天晚上 22:00 开始服务器就卡顿了,输入命令半天没响应,然后重新连接则多次超时。最后连接上去了,输入命令 uptime ,显示如下图:   我的服务器是 1 核心的,信息显示有另一个用户,而且后面三个参数都超过了 1,表示当前 CPU 严重过载。   再在云服务器管理页面查看可视化界面,如下图:   没遇到过这种情况,然后就提交了工单叫云服务器人员帮忙处理。 2 结果与分析   结果是攻击者通过 redis 的安全漏洞植入
服务器被攻击导致CPU100%的解决
过于丰富,无法简介
09-07 5522
排除服务器上是否有定时任务、顽固脚本等问题 top指令查看cpu占用情况: `` 尝试使用kill指令杀死对应进程,杀完之后发现对应服务依旧会重启: kill -9 pid 查看服务器进程数量,进程数量偏高确实存在问题: netstat -anp |grep tcp |wc -l 查看系统中存在的定时任务,定时任务与占用CPU最高的服务名称相同尝试关闭定时任务 crontab -l 修改定时任务的文件,删除定时任务保存。保存后发现还是会向服务中添加定时任务 crontab -e 直接停止定时任务进程
阿里云CPU占用率90%被植入挖矿木马的解决方法
qq_35692642的博客
03-14 4486
目录问题总结 问题 最近几日突然发现服务器CPU占用率满了 我一开始还没在意,但是当打开警告内容的时候心脏骤停 查了一下,发现应该是被别人植入木马挖矿了,使用top命令看了一下CPU占用,发现有个python进程cpu占用率直接拉满,而且总是定时启动,没法直接使用kill杀死进程 使用 vim /var/log/cron 查看了一下计划任务,果然不对劲 但是使用crontab -l查看,什么也没有 网上查了一下,发现可能是木马可能是从6379端口进来的,使用lsof -i:6379看了一下,几百
bLVNet-TAM:NeurIPS 2019的官方代码。 范全福,Richardhd Chen,Hilde Kuehne,Marco Pistoia,David Cox,“少即是多
03-09
范全福*,陈春福(Richard)*,Hilde Kuehne,Marco Pistoia,David Cox,“事半功倍:通过时间聚合模块学习高效的视频表示” 如果您使用此仓库中的代码和模型,请引用我们的工作。 谢谢! @incollection{ fan...
hildemorin:hildemorin.com基于雨果的网站
03-21
Hugo 是一款用 Go 语言编写的开源工具,它能快速、高效地生成静态网页,特别适合个人博客、项目文档或任何不需要动态服务器功能的网站。 【描述】中提到,这个网站的内容文件夹包含的是版权为 "2006-2018 Hilde ...
Editorial.pdf
最新发布
07-10
“困难患者”这一概念常常与被各种标签所困扰的群体联系在一起,比如边缘人格障碍、假性神经性精神分裂症、假性精神病性精神分裂症、漫游性精神分裂症、分裂型人格障碍和性格神经症等。尽管诊断标准存在不确定性,但...
需求分析的GPS数据集
03-29
SecReq 团队:Siv Hilde Houmb、Shareeful Islam、Jan Jürjens、Eric Knauss*、Kurt Schneider 需求的专家分类:为了训练和评估识别安全相关需求的启发式分类器,我们需要预先分类的需求。 下载我们的电子钱包规范...
需求分析的ePurse数据集
03-29
SecReq 团队:Siv Hilde Houmb、Shareeful Islam、Jan Jürjens、Eric Knauss*、Kurt Schneider 需求的专家分类:为了训练和评估识别安全相关需求的启发式分类器,我们需要预先分类的需求。 下载我们的电子钱包规范...
Centos7下批量创建用户
owen-li
04-03 6867
#!/bin/bash #this shell is use to bachusers if [ $# != 1 ];then echo "Usage:root/batchusers" elif [ -f $1 ];then for line in `cat $1` do name=`echo $line | cut -d : -f
userdel: user xxx is currently used by process xxx 解决方案
热门推荐
李云龙的意大利面
08-24 12万+
1、linux是多用户系统,root用户具有最高权限,只有root用户才能创建和删除用户(useradd fxc and userdel fxc),其他用户无此权限。 2、普通用户之间可以使用su随意进行切换(无需输入密码),但是普通用户向root用户切换时,需要输入root的登陆密码 3、当我们想删除某个用户的时候,出现 user xxx is currently used...
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4691
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
阿里云被黑
littlexiaoshuishui的博客
03-23 793
阿里云被黑 3月19号手机收到大量阿里云报警短信,查看报警内容。 木马程序:http://zzhreceive.anondns.net/b2f628/b.sh ps,pstree命令使用不了 进入/usr/bin 查看ps命令是否被修改 -rw-r--r-- 1 root root 55 Aug 25 2016 ps -rw-r--r-- 1 root root 28504 Oct 1 01:20 pstree 果然修改了属性,马上添加回去 >chmod +x
记一次公网postgresql数据库服务器被入侵为矿机的定位过程
萝卜吃鱼914的博客
09-26 2781
今天中午群里有一个群友反馈pg服务器cpu使用率高达1700%,处于好奇自己就帮着他一起定位了一下问题,以下记录一下定位问题的过程方便以后做复盘管理! 现象截图如下: 一、查看cpu情况和服务器平均负载情况得知各个cpu的使用率并不是很高呀,为什么执行top命令看到postgresql进程的cpu使用是1700%呢?没有头绪我们继续往下看 二、查看一下服务器的负载情况呢 有问题了,你服务...
一个参数解决userdel无法删除已存在用户的问题
晨曦蜗牛
01-30 9501
最近人行委派机构正在对公司额度系统进行检测,在检测要求中就有一项是这样的:删除系统内无用账号。按照这个要求,我立马对系统内无用账号进行了删除处理。在删除过程中遇到了无法删除账号的问题,以删除postfix为例。 [Security@GeekDevOps ~]$ sudo userdel -r postfix userdel: user postfix is currently used by
linux sftp创建多用户,同一台 Centos (Linux服务器设置多个sftp 账号,并限制用户只能访问指定文件路径...
weixin_28813025的博客
04-28 1081
备注:本资源部份来源网络,本文章只是作为优化,整理,方便自己与需要的朋友查看。#===================================================================0. 我们需要创建一个用户组,专门用于sftp用户,每台Linux服务器建立一次sftp 用户组即可。groupadd sftpusers //这里表示创建 sftpuser...
公司Linux服务器被非法入侵,秒变“矿机”,挖挖挖...
qq_14958051的博客
09-17 498
作者:春雪来源:http://t.cn/RnpJj2e早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘...
linux系统遇到挖矿程序
破草的博客
09-02 1万+
作为一个小白,在阿里买个一个服务器用来学习使用,前不久刚安装了redis,犹豫没有及时配置,导致服务器被恶意攻击了 阿里推给我好几条消息,一开始我还没在意,但到真的登入服务器敲命令的时候才发现,很卡!!! 查了一下cpu占有率,发现原来是这个进程的问题,kill把这个进程杀掉,完结! 结果没过多久,整个系统又卡的不行,反映又慢了一拍,查看了下还是这个顽强的进程。。。没辙,只能看看有没...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值