腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。

最新推荐文章于 2023-09-24 09:41:56 发布
最新推荐文章于 2023-09-24 09:41:56 发布
阅读量2.1k 收藏 8
点赞数 3
文章标签: 腾讯云 服务器 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58622844/article/details/132185660
版权

背景:

事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。

问题描述

访问eureka注册中心失败,一直转圈圈,Mobaxterm远程连接腾讯云主机失败,我以为是我的云主机寄了,然后我尝试用cmd命令ping了一下我的云主机IP发现能够获取到数据包,那么就奇怪了,既然能ping通为什么会连接不上呢,于是我尝试登录我的腾讯云控制台。邮件前四条消息全都是恶意文件通知,然后我意识到大事不妙,我的机器被别人扫了...

不出所料,打开文件,看着入侵时间是凌晨的3点左右,感觉和以前玩的定时任务特别像,一般都会选择在半夜12点到凌晨3点之间,不管怎么样是被入侵无疑了。

恶意文件通知:

恶意文件名和文件路径:

 

 本来想通过点击右侧的处理按钮来处理,但是发现不成功。

 

解决方案:

对于不熟悉网络安全的我来说,解决这种问题的经验显然不足,我本来指望能够通过腾讯云成功解决,但是让我很失望,它提示我升级专业版/旗舰版的文件查杀或者漏洞防护软件,好吧就是想要哥们儿充钱,主打一个反骨,真可恶呀!说实话我的个人服务器从买了到现在没怎么用过,之前只部署了个人的博客网站,最近做微服务的项目才将它拿过来重新启用,花钱购买安全防护对囊中羞涩的我来说实在不合算(如果服务器上放了重要信息的朋友们可以选择了解购买),那我求人不如求己,有什么事情不是能解决的呢,无非是多花点时间罢了。

一、删除恶意文件

由于我上面提到本办法使用终端软件连接到我的服务器,所以虽然上面的恶意文件通知中虽然指明了病毒的位置但是我也没办法删除,好在重启了一下服务器之后就可以连上了(重启服务器再连接)连接之后直接定位文件的位置删除掉病毒文件。当然,这些并不一定能删干净,先解决燃眉之急,其它的我们后续再慢慢找。

二、更换密码

排除因为弱口令被入侵,由于是我私人的服务器,也只有我一个人在使用所以密码并没有设置特别复杂,所以遇到入侵第一反应就是更改服务器的密码。所以我也换了一个臭长臭长的登录密码...(黑客不一定防的住,但是一定能单防哥们儿自己)

三、更换SSH默认的22端口

参考修改ssh默认端口文章配置

1 . 登录服务器,打开sshd_config文件

vim /etc/ssh/sshd_config

2 . 找到 #Port 22,默认是注释掉的,先把前面的#号去掉,再插入一行设置成你想要的端口号,注意不要跟现有端口号重复

SSH默认监听端口是22,如果你不强制说明别的端口,”Port 22”注不注释都是开放22访问端口。上面我保留了22端口,防止之后因为各种权限和配置问题,导致连22端口都不能访问。

3 . 重启SSH服务,重启服务器 

# 重启ssh服务
systemctl restart sshd 

# 重启服务器
shutdown -r now

四、查阅腾讯云官方给出的建议

4.1 在不影响业务的前提下,及时隔离主机/容器,避免部分带有蠕虫功能的挖矿木马进一步在内网进行横向移动;

4.2 使用`top -c`命令查看系统性能,找出消耗CPU较高的进程PID(部分挖矿木马可能会篡改top命令实现进程隐藏,可以使用`which top | xargs stat`命令判断top文件是否被黑客篡改);

4.3 根据获取的进程PID,使用“ps -ef -p PID”命令找出进程的详细信息;

4.4 根据进程详细信息定位到文件位置,并对该文件进行分析,确认是否属于挖矿木马;

4.5 若确认为挖矿木马,则进行如下清理操作:

      (1) 若确认为挖矿木马,则进行如下清理操作:

      (2) 删除挖矿相关文件:rm -rf 异常文件,删除文件时可以使用find / -name 异常文件查找出系统中的所有恶意文件

      (3) 查看并清理异常定时任务:crontab -e .......

      (4) 查看密钥认证文件:删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录:rm -rf /root/.ssh/*。如果有配置过密钥认证,只需要删除黑客创建的认证文件即可。

在执行前面的命令检查的时候并没有发现什么异常,可能是由于定时任务结束的原因,也可能是由于我重启服务器的原因,一直到检查密钥的时候,我很确信我没有创建过密钥,但是我的/root/.ssh目录下却有三个密钥文件,可疑的是怎么删都删不掉,那么我只能给它门下达最后通牒,接下来就是一系列的删除密钥的问题,相信你看了下面这篇文章清除linux挖矿木马[crypto]的过程就会觉得我对它保持怀疑是多么明智了。

上面这篇文章基本没什么废话,全是解决问题的思路,值得一提的是在为chattr文件添加权限的时候的命令写错了,应该是chmod +x chattr,我的chattr文件是直接被删除了,也有可能是被重命名了,总之我没有找到这个文件,然后从我朋友那边拷贝了一个chattr文件之后,上传过来之后chattr文件也是白色的,不可执行,使用chmod命令添加可执行权限之后就可以正常使用。

密钥文件(权限被禁,无法删除,修改777权限失败,同博主一样)

 

chmod +x chattr文件之后回来去除密钥文件的ia属性

 

五、重装系统

为了解决上面的问题,我大概花了三四个小时,包括自己摸索,查阅资料等,确实费时费力,对于我这样服务器上没有配置多少有价值东西的用户来说如果从一开始就选择重装系统或者回退镜像的话可能几分钟十几分钟就解决了,甚至花不到这么大气力。另外虽然经过上面一系列修改,我仍不敢保证百分百解决了遗留的问题,我的/usr/bin下面的其它文件也有标红和白色的问题,我以前没怎么注意过这个现象,按理说可执行命令都应该是绿色的不应该是白色的,所以会不会有后续问题还未可知。如果服务器上没有部署太多东西,还是建议对需要的文件进行备份然后直接重装系统或者回退镜像。

小马程序员
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决-BASH: /HOME/JAVA/JDK1.8.0_221/BIN/JAVA: 权限不够问题
08-25
主要介绍了解决-BASH: /HOME/JAVA/JDK1.8.0_221/BIN/JAVA: 权限不够的问题,需要的朋友可以参考下
Linux服务器清除xmrig挖矿病毒详细教程
似梦初觉的博客
11-04 8460
近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现中了xmrig挖矿病毒,并且通过kill 杀掉进程后,还会自动启动。这是由于只是停止了xmrig挖矿病毒的进,没有彻底删除病毒文件,导致会病毒会自动重启进程。
SSH服务恶意代码分析
DuishengChen的专栏
01-28 2351
SSH服务恶意代码分析摘要:本文介绍一个ssh服务的恶意代码,该恶意代码为本人管理阿里云服务器时偶然发现,研究源码感觉存在较大的隐蔽性和安全隐患,因此写此博客记录之。正文: 初探:昨天检查实验室阿里云服务器/etc/passwd 文件存在提权用户Redistoor,初步怀疑系统被入侵。先不管,先把这个用户给禁用。查看rc.local系统自启动文件发现可疑启动项/tmp/minerd –XXXXX,可
记一次阿里云服务器挖矿的经历
key_768的博客
04-17 1万+
挖矿 大早上起来,发现被“挖矿”了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 会出现这种占有99.9%的进程 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
宝塔攻防------木马挖矿xmrig问题处理
jack_Day666的博客
05-13 1045
点他名字xmrig进详情 查找是否有异常的ip端口号 在宝塔首页,查看对应版本是否过低 进入云服务器,查看是否有异常登录和木马文件 这里隔离后,在宝塔里 起始都输入刚刚的ip 然后添加 查看服务器异常登录,因为加了黑名单,可以不管了 最后,查看宝塔主页面,cpu是否正常,如果正常,可以不重启服务器建议重启宝塔。 ...
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 3438
在linux服务器上彻底清除xmrig挖矿病毒
腾讯云服务器挖矿程序处理记录
wddddddsd的博客
03-08 2282
1.top 发现pid为12437,进程名为“redis2”的进程cpu占用197% 2.ps -ef|grep 12437 发现服务器中确实跑了挖矿程序 polkitd 12437 17122 99 13:22 ? 00:27:29 ./redis2 --donate-level 1 -o ve01.kieuanilam.me:5555 -u tt6re -p tt6r...
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1016
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6362
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
服务器腾讯云助手告警通知有木马文件
网站安全专家
03-17 1063
春节假期刚过,正常上班的日子正在进入步伐,早上起来的时候发现腾讯助手发来了好几条安全告警通知,检测到几个木马文件,巧了,昨天也收到一个木马警告,作为一个网络小白的我,只是把木马文件隔离,没想到今天又中招了,其实我很懵,怎么会有人攻击我网站服务器,而且服务器上我只是部署了几个自己的站点,所以我的第一反应是是不是公司里哪个大佬想用我的服务器练练手,但当我打开腾讯云入侵检测页面时,发现事情并没有这么简单,看着入侵时间分别是半夜的12点和凌晨的3点,感觉像是定时任务,而且服务器文件都还在,没有被加密,所以应该也不
网络安全-挖矿病毒XMrig miner
L120305q的博客
04-05 687
挖矿病毒XMrig miner
linux输入yum后提示: -bash: /usr/bin/yum: No such file or directory的解决方法
01-10
linux输入yum后提示: -bash: /usr/bin/yum: No such file or directory的解决方案 今天在安装程序时,发现有一个插件未安装,我就随手敲了一个命令,看都没看 yum remove yum 然后就杯具了… [root@localhost ~]#...
在配置SSH免密登录时报错:/usr/bin/ssh-copy-id: ERROR: failed to open ID file ‘/root/.pub’: 没有那个文件或目录
01-07
/usr/bin/ssh-copy-id: ERROR: failed to open ID file '/root/.pub': 没有那个文件或目录 (to install the contents of '/root/.pub' anyway, look at the -f option) 解决方法 [root@hadoop1 sbin]# ssh-keygen ...
文件为docker-compose的二进制文件,解压之后就能放到/usr/bin/下就能直接使用。
08-01
文件为docker-compose的二进制文件,解压之后就能放到/usr/bin/下就能直接使用。
担心服务器中毒?三招教你如何避免黑客”攻击!
ksy_com的博客
07-02 176
服务器在互联网运转中为使用者提供计算或应用服务,企业的业务流程基本上都是在服务器上进行,大批量的数据信息都会存储在此,若是服务器黑客入侵下中毒,后果将不堪设想。想要避免黑客入侵,我们可以从下面三个角度来进一步提高服务器的安全性。进一步提高密码的设置我们在服务器上使用的账户密码有很多种,我们可以参考字母+数字+符合的密码设置规则,并且定时更换密码,高强度的混合密码不会被轻易破解,更能安全性服务器后台的安全。除此之外,我们还需要设定一个密码登录策略,密码若是输入错误,就将登录账户锁定,阻止不法分子的入侵
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议
Java与大数据相关实践内容分享!
11-24 2536
Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议
记录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 736
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
服务器被植入挖矿病毒-xmrig
最新发布
weixin_53299145的博客
09-24 1357
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
Nginx 配置 SSL:解决 Nginx 报错 nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf
05-19
如果你在 Nginx 配置中加入了 `ssl` 相关指令,但启动时报出 `nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf` 的错误,这说明你的 Nginx 版本没有编译安装 OpenSSL 模块。 解决方法: 1.检查 Nginx 是否支持 OpenSSL 模块: ``` $ nginx -V ``` 如果控制台输出中包含 `--with-http_ssl_module`,说明 Nginx 已经支持 OpenSSL 模块。 2.重新编译 Nginx: 如果你的 Nginx 没有支持 OpenSSL 模块,则需要重新编译 Nginx 并添加 OpenSSL 模块。具体步骤如下: 1)先安装 OpenSSL 库: ``` $ sudo apt-get install openssl ``` 2)下载 Nginx 的源码包: ``` $ wget http://nginx.org/download/nginx-1.16.1.tar.gz ``` 3)解压源码包: ``` $ tar -zxvf nginx-1.16.1.tar.gz ``` 4)进入源码目录: ``` $ cd nginx-1.16.1 ``` 5)执行编译命令(需要添加 `--with-http_ssl_module` 参数): ``` $ ./configure --with-http_ssl_module $ make && sudo make install ``` 6)重新启动 Nginx 服务器: ``` $ sudo systemctl restart nginx ``` 现在你可以尝试在 Nginx 配置中使用 `ssl` 相关指令了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值