[问题已处理]-阿里云与本地机房中挖矿病毒处理,又又又中毒了

最新推荐文章于 2024-07-09 11:15:52 发布
最新推荐文章于 2024-07-09 11:15:52 发布
阅读量1k 收藏 8
点赞数 1
分类专栏: 问题已处理 文章标签: 运维 big data java
仅供学习参考 转载请标明出处。个人笔记为自己记录 如果对大家有帮助那也挺好 写的马虎 如果有不对的地方谢谢指正 各位大佬别喷哦
本文链接:https://blog.csdn.net/xujiamin0022016/article/details/120401017
版权

导语:被挖矿的现象是cpu异常的高。正常服务被系统杀掉。

先是发现线上业务挂了。紧接着发现本地机房也挂了。判断病毒应该是由本地机房的跳板机或者开放的端口,或dubbo框架漏洞进来的

基本判断是confluence最新的漏洞导致的

http://www.hackdig.com/09/hack-465498.htm

刚好看到防火墙有之前做的映射暴露出去

后期防火墙可以设置白名单

会用java去下脚本

官方临时升级办法 可能这台机子已经被注入,依旧不行,阿里云还是会告警。

如需要查看完整感染脚本

curl http://209.141.40.190/xms

仔细排查过后发现,中的不止一种挖矿病毒。

pstree查看进程有kingsing和kdevtmpfsi

还有dbused

第一步处理思路

先通过ps -ef 命令观察病毒是从哪里更新的,然后通过防火墙禁止对应的访问

# 安装iptables firewalld 不方便直接禁止域名
yum install -t iptables
yum install iptables-services -y

iptables -P INPUT ACCEPT   
iptables -P OUTPUT ACCEPT  
iptables -A OUTPUT -p tcp -d bash.givemexyz.in --dport 80 -j DROP
iptables -A INPUT -p tcp -d bash.givemexyz.in --dport 80 -j DROP
iptables -I INPUT -s 209.141.40.190 -j DROP
iptables -I OUTPUT -s 209.141.40.190 -j DROP

iptables -I INPUT -s 195.19.192.28 -j DROP
iptables -I OUTPUT -s 195.19.192.28 -j DROP
# 一定要save 之后reload 否则不生效
service iptables save 
service iptables reload  
# 查看防火墙规则  不带-n可能看不到所有的
iptables -n -L
# 如果规则加错了 查看对应规则并删除
iptables -L INPUT --line-numbers
iptables -D INPUT 1

修改/etc/hosts

# 添加
127.0.0.1 bash.givemexyz.in

第二步处理思路

先把对应文件都删了后占用,chmod 644 并删除cron定时任务

这里可能需要多次操作 确保清理干净了。

大致脚本 没有判断是否存在,可能会有误删。慎用

我自己就误删除了/etc下的和/bin下的文件

chattr -i -a /etc/cron.daily/pwnrig > /dev/null 2>&1 
chattr -i -a /etc/cron.hourly/pwnrig >  /dev/null 2>&1 
chattr -i -a /etc/cron.weekly/pwnrig > /dev/null 2>&1 
chattr -i -a /etc/cron.d/pwnrig > /dev/null 2>&1
chattr -i -a /etc/cron.monthly/pwnrig > /dev/null 2>&1 

rm -rf /etc/cron.daily/pwnrig  > /dev/null 2>&1
rm -rf /etc/cron.hourly/pwnrig > /dev/null 2>&1
rm -rf /etc/cron.weekly/pwnrig > /dev/null 2>&1
rm -rf /etc/cron.d/pwnrig > /dev/null 2>&1
rm -rf /etc/cron.monthly/pwnrig > /dev/null 2>&1 




find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep rc 
chattr -a -i /etc/rc.d/init.d/pwnrig > /dev/null 2>&1
rm -rf /etc/rc.d/init.d/pwnrig > /dev/null 2>&1

find /etc/ -name '*' | xargs grep 'xms' -n 2>/dev/null | grep init.d

find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep init.d


find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep systemd
chattr -a -i /etc/systemd/system/multi-user.target.wants/pwnrige.service > /dev/null 2>&1 
rm -rf /etc/systemd/system/multi-user.target.wants/pwnrige.service > /dev/null 2>&1

chattr -a -i /usr/lib/systemd/system/pwnrigl.service > /dev/null 2>&1
rm -rf  /usr/lib/systemd/system/pwnrigl.service > /dev/null 2>&1

chattr -a -i /etc/systemd/system/pwnrige.service > /dev/null 2>&1
rm -rf /etc/systemd/system/pwnrige.service > /dev/null 2>&1



chattr -i -a /bin/bprofr > /dev/null 2>&1
rm -rf /bin/bprofr > /dev/null 2>&1

chattr -i -a /bin/sysdr > /dev/null 2>&1
rm -rf /bin/sysdr > /dev/null 2>&1

chattr -i -a /bin/crondr > /dev/null 2>&1
rm -rf /bin/crondr > /dev/null 2>&1

chattr -i -a /bin/initdr > /dev/null 2>&1
rm -rf /bin/initdr > /dev/null 2>&1

chattr -i -a /usr/bin/bprofr > /dev/null 2>&1
rm -rf /usr/bin/bprofr > /dev/null 2>&1

chattr -i -a  /usr/bin/sysdr > /dev/null 2>&1
rm -rf /usr/bin/sysdr > /dev/null 2>&1

chattr -i -a /usr/bin/crondr > /dev/null 2>&1
rm -rf /usr/bin/crondr > /dev/null 2>&1

chattr -i -a /usr/bin/initdr > /dev/null 2>&1
rm -rf /usr/bin/initdr > /dev/null 2>&1


rm -rf /tmp/dbused > /dev/null 2>&1
rm -rf /tmp/dbusex > /dev/null 2>&1
rm -rf /tmp/xms > /dev/null 2>&1
rm -rf /tmp/x86_64 > /dev/null 2>&1
rm -rf /tmp/i686 > /dev/null 2>&1
rm -rf /tmp/go > /dev/null 2>&1
rm -rf /tmp/x64b > /dev/null 2>&1
rm -rf /tmp/x32b > /dev/null 2>&1

crontab -r > /dev/null 2>&1
service   crond reload > /dev/null 2>&1
service   crond  restart > /dev/null 2>&1
pkill -9 wget > /dev/null 2>&1


touch /tmp/kdevtmpfsi > /dev/null 2>&1
yes| rm /tmp/kdevtmpfsi > /dev/null 2>&1
touch /tmp/kdevtmpfsi > /dev/null 2>&1
chmod 644 /tmp/kdevtmpfsi > /dev/null 2>&1
pkill -9 kdevtmpfsi > /dev/null 2>&1


touch /var/tmp/kinsing > /dev/null 2>&1
yes| rm /var/tmp/kinsing > /dev/null 2>&1
touch /var/tmp/kinsing > /dev/null 2>&1
chmod 644 /var/tmp/kinsing > /dev/null 2>&1
pkill -9 kinsing > /dev/null 2>&1

touch /var/tmp/kdevtmpfsi > /dev/null 2>&1
yes| rm /var/tmp/kdevtmpfsi > /dev/null 2>&1
touch /var/tmp/kdevtmpfsi > /dev/null 2>&1
chmod 644 /var/tmp/kdevtmpfsi > /dev/null 2>&1
pkill -9 kdevtmpfsi > /dev/null 2>&1



touch /usr/bin/dbused > /dev/null 2>&1
yes| rm /usr/bin/dbused > /dev/null 2>&1
touch /usr/bin/dbused > /dev/null 2>&1
chmod 644 /usr/bin/dbused > /dev/null 2>&1
pkill -9 dbused > /dev/null 2>&1


crontab -r > /dev/null 2>&1
service   crond reload > /dev/null 2>&1
service   crond  restart > /dev/null 2>&1
pkill -9 wget > /dev/null 2>&1


touch /tmp/kdevtmpfsi > /dev/null 2>&1
yes| rm /tmp/kdevtmpfsi > /dev/null 2>&1
touch /tmp/kdevtmpfsi > /dev/null 2>&1
chmod 644 /tmp/kdevtmpfsi > /dev/null 2>&1
pkill -9 kdevtmpfsi > /dev/null 2>&1


touch /var/tmp/kinsing > /dev/null 2>&1
yes| rm /var/tmp/kinsing > /dev/null 2>&1
touch /var/tmp/kinsing > /dev/null 2>&1
chmod 644 /var/tmp/kinsing > /dev/null 2>&1
pkill -9 kinsing > /dev/null 2>&1


touch /usr/bin/dbused > /dev/null 2>&1
yes| rm /usr/bin/dbused > /dev/null 2>&1
touch /usr/bin/dbused > /dev/null 2>&1
chmod 644 /usr/bin/dbused > /dev/null 2>&1
pkill -9 dbused > /dev/null 2>&1




touch /usr/bin/bprofr > /dev/null 2>&1
chattr -R -a -i /usr/bin/bprofr > /dev/null 2>&1
rm -rf /usr/bin/bprofr > /dev/null 2>&1
touch /usr/bin/bprofr > /dev/null 2>&1
chmod 644 /usr/bin/bprofr > /dev/null 2>&1


touch /usr/bin/crondr > /dev/null 2>&1
chattr -R -a -i /usr/bin/crondr > /dev/null 2>&1
rm -rf /usr/bin/crondr > /dev/null 2>&1
touch /usr/bin/crondr > /dev/null 2>&1
chmod 644 /usr/bin/crondr > /dev/null 2>&1


touch /usr/bin/initdr > /dev/null 2>&1
chattr -R -a -i /usr/bin/initdr > /dev/null 2>&1
rm -rf /usr/bin/initdr > /dev/null 2>&1
touch /usr/bin/initdr > /dev/null 2>&1
chmod 644 /usr/bin/initdr > /dev/null 2>&1


touch /usr/bin/sysdr > /dev/null 2>&1
chattr -R -a -i /usr/bin/sysdr > /dev/null 2>&1
rm -rf /usr/bin/sysdr > /dev/null 2>&1
touch /usr/bin/sysdr > /dev/null 2>&1
chmod 644 /usr/bin/sysdr > /dev/null 2>&1


touch /root/ss > /dev/null 2>&1
chattr -R -a -i /root/ss > /dev/null 2>&1
rm -rf /root/ss > /dev/null 2>&1
touch /root/ss > /dev/null 2>&1
chmod 644 /root/ss > /dev/null 2>&1




touch /root/ssh > /dev/null 2>&1
chattr -R -a -i /root/ssh > /dev/null 2>&1
rm -rf /root/ssh > /dev/null 2>&1
touch /root/ssh > /dev/null 2>&1
chmod 644 /root/ssh > /dev/null 2>&1



touch /tmp/gxx > /dev/null 2>&1
chattr -R -a -i /tmp/gxx > /dev/null 2>&1
rm -rf /tmp/gxx > /dev/null 2>&1
touch /tmp/gxx > /dev/null 2>&1
chmod 644 /tmp/gxx > /dev/null 2>&1

touch /tmp/scan > /dev/null 2>&1
chattr -R -a -i /tmp/scan > /dev/null 2>&1
rm -rf /tmp/scan > /dev/null 2>&1
touch /tmp/scan > /dev/null 2>&1
chmod 644 /tmp/scan > /dev/null 2>&1


touch /bin/initdr > /dev/null 2>&1
chattr -R -a -i /bin/initdr > /dev/null 2>&1
rm -rf /bin/initdr > /dev/null 2>&1
touch /bin/initdr > /dev/null 2>&1
chmod 644 /bin/initdr > /dev/null 2>&1



touch /bin/bprofr > /dev/null 2>&1
chattr -R -a -i /bin/bprofr > /dev/null 2>&1
rm -rf /bin/bprofr > /dev/null 2>&1
touch /bin/bprofr > /dev/null 2>&1
chmod 644 /bin/bprofr > /dev/null 2>&1

touch /bin/crondr > /dev/null 2>&1
chattr -R -a -i /bin/crondr > /dev/null 2>&1
rm -rf /bin/crondr > /dev/null 2>&1
touch /bin/crondr > /dev/null 2>&1
chmod 644 /bin/crondr > /dev/null 2>&1

touch /bin/crondr > /dev/null 2>&1
chattr -R -a -i /bin/crondr > /dev/null 2>&1
rm -rf /bin/crondr > /dev/null 2>&1
touch /bin/crondr > /dev/null 2>&1
chmod 644 /bin/crondr > /dev/null 2>&1


touch /bin/dbused > /dev/null 2>&1
chattr -R -a -i /bin/dbused > /dev/null 2>&1
rm -rf /bin/dbused > /dev/null 2>&1
touch /bin/dbused > /dev/null 2>&1
chmod 644 /bin/dbused > /dev/null 2>&1

touch /tmp/hxx > /dev/null 2>&1
chattr -R -a -i /tmp/hxx > /dev/null 2>&1
rm -rf /tmp/hxx > /dev/null 2>&1
touch /tmp/hxx > /dev/null 2>&1
chmod 644 /tmp/hxx > /dev/null 2>&1

touch /tmp/bashirc > /dev/null 2>&1
chattr -R -a -i /tmp/bashirc > /dev/null 2>&1
rm -rf /tmp/bashirc > /dev/null 2>&1
touch /tmp/bashirc > /dev/null 2>&1
chmod 644 /tmp/bashirc > /dev/null 2>&1


find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep rc
find /etc/ -name '*' | xargs grep 'xms' -n 2>/dev/null | grep init.d 
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep init.d 

find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep systemd 


find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null |grep cron 
find /etc/ -name '*' | xargs grep 'givemexyz' -n 2>/dev/null |grep cron 

find /etc -name "*pwnrig*" -exec chattr -i -a {} \; 
find /etc -name "*pwnrig*" | xargs rm -rf 



find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep rc
find /etc/ -name '*' | xargs grep 'xms' -n 2>/dev/null | grep init.d
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep init.d
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep systemd


find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null |grep cron
find /etc/ -name '*' | xargs grep 'givemexyz' -n 2>/dev/null |grep cron

find /etc -name "*pwnrig*" -exec chattr -i -a {} \;
find /etc -name "*pwnrig*" | xargs rm -rf

删除定时任务

chattr -R -a -i /var/spool/cron/crontabs > /dev/null 2>&1
mkdir -p /var/spool/cron/crontabs > /dev/null 2>&1
rm -rf /var/spool/cron/crontabs > /dev/null 2>&1

chattr -R -a -i /var/spool/cron/root > /dev/null 2>&1
rm -rf /var/spool/cron/root > /dev/null 2>&1


cd /etc/cron.d 
chattr -i -a * 
rm * 

cd /etc/cron.daily 
chattr -i -a * 
rm * 
cd /etc/cron.hourly 
chattr -i -a * 
rm *
cd /etc/cron.monthly 
chattr -i -a * 
rm * 
cd /etc/cron.weekly 
chattr -i -a * 
rm * 
cd /var/spool/cron
chattr -R -i -a * 
rm -rf *

清理/root/.bash_profile

chattr -i -a /root/.bash_profile
sed -i '/bprofr/d'  /root/.bash_profile

清理完成之后确认一下

# 查看定时任务和所有用户的定时任务
crontab -l
cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
# 查看是否清除登录启动
cat /root/.bash_profile
# 查看是否有残留进程 一般直接杀死就行 不会再拉起来了
ps -aux | egrep "dbuse|sendmail|wget|sleep"
ps -ef |grep sh

第三步处理思路

有条件就安装阿里云agetn监控一下。可以白嫖7天体验版,然后当前账号下的ecs和本地机房的机子都可以安装agent 查杀。非常好用。

处理好之后reboot 服务器检查一下

如果pstree 或者 ps 看不出来是不是病毒可以通过 md5sum /var/tmp/cruner 文件名的形式查看到它对应的hash值,然后到对应网站hhttps://www.virustotal.com/gui/home/upload搜索,看看是不是病毒文件。因为病毒文件一般都是一个hash

如图就是病毒文件。

修复系统和应用漏洞。

不会被拉起的进程kill -9 pid即可

怀疑邮件也是有问题 这个不确认。杀了稳一点

系统服务里还会有这些服务,但是因为文件已经被删除了。没法启动也没法去掉,不影响。

不小心删了/etc下的文件 导致root不能用了

其他的文件如果误删除了 直接scp基本就行

需要从其他服务器上或者自己创建/etc/passwd, /etc/shadow ,/etc/group 3个文件

发现其他的定时任务 但是ip不通。直接加入防火墙保险

sleep 进程一般要杀掉 是残留进程

只要有一个还活着,一分钟就能拉一个新的出来

域名不通会换ip

可以通过host bash.givemexyz.in 查看对应域名的ip 一起禁止掉

发现弱密码

普通用户直接删除

userdel -r prod_xxx
# 如果用户有启动的进程 要么修改密码要么修改成不能登录
chsh -s /sbin/nologin webh5

docker优化

摘自阿里云

限制容器之间的网络流量服务配置
描述
默认情况下,同一主机上的容器之间允许所有网络通信。 如果不需要,请限制所有容器间的通信。 将需要相互通信的特定容器链接在一起。默认情况下,同一主机上所有容器之间都启用了不受限制的网络流量。 因此,每个容器都有可能读取同一主机上整个容器网络上的所有数据包。 这可能会导致意外和不必要的信息泄露给其他容器。 因此,限制容器间的通信。

检查提示
--

加固建议
在守护程序模式下运行docker并传递'--icc = false'作为参数。 例如,

/usr/bin/dockerd --icc=false
若使用systemctl管理docker服务则需要编辑

/usr/lib/systemd/system/docker.service
文件中的ExecStart参数添加 --icc=false选项 然后重启docker服务

审核Docker文件和目录安全审计
描述
除了审核常规的Linux文件系统和系统调用之外,还审核所有与Docker相关的文件和目录。 Docker守护程序以“ root”特权运行。 其行为取决于某些关键文件和目录。如 /var/lib/docker、/etc/docker、docker.service、 docker.socket、/usr/bin/docker-containerd、/usr/bin/docker-runc等文件和目录

检查提示
--

加固建议
在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

-w /var/lib/docker -k docker
-w /etc/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
然后,重新启动audit程序。 例如

service auditd restart

操作时建议做好记录或备份

限制容器的内存使用量服务配置
描述
默认情况下,Docker主机上的所有容器均等地共享资源。 通过使用Docker主机的资源管理功能(例如内存限制),您可以控制容器可能消耗的内存量。
默认情况下,容器可以使用主机上的所有内存。 您可以使用内存限制机制来防止由于一个容器消耗主机的所有资源而导致的服务拒绝,从而使同一主机上的其他容器无法执行其预期的功能。 对内存没有限制可能会导致一个问题,即一个容器很容易使整个系统不稳定并因此无法使用。

检查提示
--

加固建议
仅使用所需的内存来运行容器。 始终使用'--memory'参数运行容器。 您应该按以下方式启动容器:

docker run --interactive --tty --memory 256m <Container Image Name or ID>

操作时建议做好记录或备份

将容器的根文件系统挂载为只读服务配置
描述
容器的根文件系统应被视为“黄金映像”,并且应避免对根文件系统的任何写操作。 您应该显式定义用于写入的容器卷。
您不应该在容器中写入数据。 属于容器的数据量应明确定义和管理。 在管理员控制他们希望开发人员在何处写入文件和错误的许多情况下,这很有用。

检查提示
--

加固建议
添加“ --read-only”标志,以允许将容器的根文件系统挂载为只读。 可以将其与卷结合使用,以强制容器的过程仅写入要保留的位置。 您应该按以下方式运行容器:

docker run --interactive --tty --read-only --volume <writable-volume> <Container Image Name or ID> <Command>
如果您是k8s或其他容器编排软件编排的容器,请按照相应的安全策略配置或忽略。


操作时建议做好记录或备份

kubernetes优化

确保将--allow-privileged参数设置为false 用户帐户和环境
描述
特权容器具有所有系统功能,并且还消除了设备cgroup控制器强制执行的所有限制。 换句话说,容器可以完成主机可以做的几乎所有事情。 存在此标志是为了允许特殊用例,例如在Docker中运行Docker,因此应避免在生产工作负载中使用。

影响:
您将无法运行任何特权容器。
注意:Kubernetes集群目前使用的许多组件都使用特权容器(例如Container Network Interface插件)。应该注意确保最小化此类插件的使用,尤其是应仔细检查对kube-system名称空间之外的特权容器的任何使用。在可能的情况下,查看此类插件所需的权限,以确定是否可以应用更细粒度的权限集。

检查提示
--

加固建议
编辑主节点上的/ etc / kubernetes / config文件,并将KUBE_ALLOW_PRIV参数设置为“ --allow-privileged = false”: KUBE_ALLOW_PRIV =“-allow-privileged = false”根据您的系统,重新启动kube-apiserver服务。 例如: systemctl restart kube-apiserver.service


操作时建议做好记录或备份

mysql优化

数据库开启secure_file_priv 避免被利用漏洞去系统写文件

# /etc/my.cnf
secure_file_priv=

可参考

https://blog.csdn.net/weixin_42453905/article/details/120067414

https://www.cnblogs.com/yzgblogs/p/15191341.html

https://www.freebuf.com/articles/network/280004.html 记一次套路较深的双家族挖矿事件应急响应 - FreeBuf网络安全行业门户

爷来辣
关注
专栏目录
阿里云云解析DNS核心概念与应用
江晓龙的博客
08-18 4万+
DNS 是域名系统 (Domain Name System) 的缩写,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。我们在访问一个应用系统时,在没有使用DNS前,都是使用IP去访问的,IP的组成都是数字,难以记忆,DNS可以将IP解析成方便记忆的域名,例如jiangxl.com,在浏览器输入jiangxl.com就可以跳转到对应的应用服务器,为我们提供服务,域名和IP相比,域名是非常好记忆的。
阿里云CDN加速器基本概念与购买开通
热门推荐
江晓龙的博客
08-22 4万+
内容分发网络(Content Delivery Network,CDN)是建立并覆盖在承载网上,由不同区域的服务器组成的分布式网络。将源站资源缓存到全国各地的边缘服务器,供用户就近获取,降低源站压力。CDN相当于缓存服务,由不同地区的服务器组成的分布式网络,网站数据会缓存到CDN一份,当用户请求时,首先到达CDN加速器,由CDN将用户的请求分发到距离用户最近区域的服务器,加速网站的网络,当用户请求的数据在CDN不存在时,CDN则会回源,由CDN去请求WEB服务器的数据,避免恶意用户频繁请求网站流量。
服务器了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法
qq_38398347的博客
02-09 3345
通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 执行,然后会删除 c3pool 目录。我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件。通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决此病毒的方法。所以,我们将病毒进程杀掉后,再将定时任务删除就行了。打开 cron 目录的文件后,发现了一条定时任务。
记一次阿里云服务器挖矿病毒处理
kk.xie的博客
09-11 7588
1.收到阿里云发来的预警短信 【阿里云】尊敬的1*********9:云盾云安全心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程遇到问题,可...
记一次gsd挖矿病毒处置
最新发布
weixin_47142436的博客
07-09 881
按照上述流程处置完成后,再次kill相关进程,并对客户主机进行重启,客户系统恢复,CPU使用率降至10%以下,观察超过30分钟未有新的挖矿进程出现,基本确认处理完成。结合客户所说,重启服务器后正常应用不能启动,挖矿进程会快速占满CPU,怀疑家目录下的bash_profile里面有关于挖矿进程的相关参数。ls -l /proc/PID/exe 查看此PID对应的程序,发现如下图所示,此程序不存在。发现bprofr文件的存在,将bprofr放到云沙箱进行检查,确定为挖矿程序。
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3605
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
【网络安全】网安人(黑客)必备十大网站(内附学习笔记)
wuli1024的博客
02-16 1956
网安人(黑客)必备十大网站(内附学习笔记)
dbused 挖矿病毒清理
记昨日书的博客
09-26 750
问题描述 系统:centos 7 现象:服务器CPU一直100%,top 命令发现 dbused 占用,kill 掉后自启CPU依然100% 1. 临时降低CPU使用率 while true; do ps -aux | egrep "dbused|sendmail|wget|python" | awk '{print $2}' | xargs kill; done 2. 关闭定时任务自启 systemctl disable crond 3. 清理环境变量(.bash_profile) chattr -i
怎么样可以把本地机房专线接入阿里云专有网络VPC操作流程
m0_65455195的博客
12-25 1358
阿里云专有网络VPC支持本地IDC通过物理专线接入,用户需要自主联系运营商完成整个专线接入,接入之前用户先确认接入点,然后在阿里云高速通道控制台购买专线端口,阿小云分享本地数据心通过物理专线接入阿里云专有网络VPC流程说明: 本地数据心物理专线接入阿里云VPC 阿里云支持本地数据心通过物理专线接入阿里云专有网络VPC,物理独享专线是需要用户自行联系运营商,但是需要用户首先确认接入点,然后在高速通道控制台购买专线端口。阿小云分享阿里云官方文档关于独享专线接入的流程: 本地数据心通过物理专线连接阿里
阿里云RDS5.6跟本地机房的MySQL5.6 实现实时同步
04-20
该文章主要编写RDS如何同本地服务器上面自建的mysql实现主从同步的操作
计算机机房安全管理问题与措施,机房管理存在的问题处理对策
weixin_34854288的博客
07-11 1643
近年来,随着我国信息化时代的发展,计算机在人群的应用也日益广泛,同时很多高校掀起了计算机专业的高潮,现在几乎每一个高校里面开设的都有计算机专业的课程,所以,在高校里面计算机机房的管理也遇到的一些问题,本文将主要介绍一下计算机机房管理存在的问题及对应措施,从而完善对计算机机房的管理,以体现多媒体教学的高质量水平。一、引言高等院校的计算机机房设备是用来传授计算机专业及计算机公共课程的专业知识,因此...
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,挖矿病毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-21 5749
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
spring的cron定时表达式
Dr.dong的专栏
04-02 1299
特殊字符意义*表示所有值;?表示未说明的值,即不关心它为何值;-表示一个指定的范围;,表示附加一个可能值;/符号前表示开始时间,符号后表示每次递增的值;L("last")("last") "L" 用在day-of-month字段意思是 "这个月最后一天";用在 day-of-week字段, 它简单意思是 "7" or "SAT"。 如果在day-of-week字段里和数字联合使用,它的意思就是
-bash这样的木马,你遇到过没?
sqlora的专栏
06-15 5817
第一次遇到如此难搞的病毒木马-bash。 # cat /etc/redhat-release CentOS release 6.7 (Final) # ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 进程和文件清除后,总是会自动起来,然后占用50%的CPU netstat-ano|more 用到的命令: sar 1 10 top lsof -p 进程号 ,可以看关联了哪些进程及和那里通信,这里看到会去请求这个外部...
警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
systemino的博客
04-25 2730
一、现象描述 近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasam...
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3574
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
攻防世界PWN之note-service2题解
seaaseesa的博客
11-10 2806
note-service2 首先看一下程序的保护机制,注意,PIE是开启的,这个checksec检测PIE有时候不准确。不过,我们看到NX是关闭的,说明堆栈的数据可以被当做指令执行 然后,我们用IDA分析一下,发现是一个很简单程序,并且只有添加和删除功能,其他功能未实现 创建这里,有三处值得我们注意 创建的堆空间大小最多为8字节 保存堆指针的数组下标可以越界 既然数组下...
查杀我这辈子有幸遇到的第一个Linux病毒 (by quqi99)
技术并艺术着
08-17 2037
作者:张华 发表于:2021-08-17 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 问题 本人有一个腾讯虚机,昨天忽然ssh不上去了,控制台重启之后就又上去了,所以也就过去了。 可是今天又遇到了同样情况,不能总重启啊,得好好研究一下怎么回事了。 关闭云镜 使用top命令看到有个叫什么YunJing的进程,搜索一番后通过下列命令删除。 sudo /usr/local/qcloud/stargate/admin/uninstall.sh sudo /usr/loca
[BZMCTF]综合渗透部分 writeup
ShenZ的博客
01-10 4830
[BZMCTF]综合渗透部分 writeup 靶场:http://www.bmzclub.cn/challenges 伟大宝宝的宝藏 1.后台getshell 2.suid提权 sqlguncms 1.玩玩搜索框sql注入 2.后台登陆+容易文件读取 3.后台文件上传getshell 4.XSS ThinkPHP 1.TP5命令执行 2.后台登陆 3.Phar反序列化漏洞 简历系统 zblog
保障云存储服务稳定性与安全:又拍网的实践与经验
Nginx在云存储的应用更为深入,它整合了一致性HASH模块,根据业务需求智能地将请求分发到缓存服务器,提升缓存命率,提高业务处理能力。缓存调度模块则通过LRU和MRU算法对URL热度进行分类,加快响应速度。统计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爷来辣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值