jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!
一, 定位问题
1.发现cpu异常,查看对应的进程信息
[root@versionlibrary /]# top
top - 10:56:10 up 15 min, 1 user, load average: 7.28, 7.24, 4.90Tasks: 209 total, 5 running, 204 sleeping, 0 stopped, 0 zombie%Cpu(s): 96.5 us, 3.5 sy, 0.0 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 stKiB Mem : 14350456 total, 9786680 free, 3711836 used, 851940 buff/cacheKiB Swap: 0 total, 0 free, 0 used. 10211252 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 2588 root 20 0 427364 10708 2160 S 351.1 0.1 37:09.70 trace 3146 git 20 0 721696 472444 3584 R 23.8 3.3 0:05.11 bundle 3913 root 20 0 160904 5656 4308 S 6.5 0.0 0:00.28 sshd 3926 git 20 0 15260 992 824 R 6.5 0.0 0:00.20 git-upload-pack 1573 git 20 0 741896 472932 6100 S 3.3 3.3 0:06.82 bundle 1247 root 20 0 7440132 1.0g 33756 S 1.3 7.3 1:24.70 java 1 root 20 0 128096 6612 4128 S 1.0 0.0 0:03.30 systemd
2.查看进程发现是挖矿进程在执行
[root@versionlibrary /]# ps -aux|grep traceroot 2588 393 0.0 427364 10708 ? Sl 10:46 47:20 ./trace --algo cn/double -r 32 -R 32 --keepalive --no-color --donate-level 1 --max-cpu-usage 95 --cpu-priority 3 --print-time 25 --threads 4 --url xcash.herominers.com:10441 --user XCBzxb7igt5YvbwtYCMPkEWRATpzrMYvU2PpTDi89bon7fYnJgYSeRS8EN5LLnPxgkgfsf3k1DZVn1bzccTFBNhpPGbJGBh1dBkirZd6xsV2GE --pass 82b08f03 --keepaliveroot 4276 0.0 0.0 112704 988 pts/0 S+ 10:58 0:00 grep --color=auto trace
3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本
[root@versionlibrary /]# ls -l /proc/2588/exelrwxrwxrwx. 1 root root 0 May 9 11:02 /proc/2588/exe -> /var/lib/jenkins/jobs/Jenkins
4.查看虚机密码是否被破解登录
如果发现未知ip登录需要及时更换密码
[root@versionlibrary tmp]# lastpmpd pts/0 139.219.10.210 Thu May 9 10:43 still logged in reboot system boot 3.10.0-862.11.6. Thu May 9 10:40 - 15:37 (04:56)
wtmp begins Thu May 9 10:38:19 2019
5.查找挖矿文件
挖矿问价一般是会存在 tmp目录下,tmp目录的访问权限是最大的,以下为99sy
[root@versionlibrary tmp]# ls99sy gitaly-ruby543509877 jna4381594195372702638jar tmpWL1Ry7akuma2730798493513952938jar hsperfdata_root moni.lod winstone2324068653960260627.jarcmd.n jetty-0.0.0.0-8888-war-_-any-4425982404102692602.dir systemd-private-5f9d4e2c4e0344579491ce38011cc2ff-chronyd.service-Ncy1Um winstone6735906110175988793.jarconf.n jetty-0.0.0.0-8888-war-_-any-997583922652054084.dir tmp0F_O0fgates.lod jna-3506402
6.检查定时任务脚本
一般矿机病毒创建定时脚本来恢复被删除的矿机程序和矿机程序的恢复,重启.
[root@versionlibrary tmp]# crontab -l0 3 * * * /bin/sh /root/backup.sh
二,解决问题
找到问题导致的原因之后就能够针对这些原因去修复.
1,第一时间先切断外出的流量,及时止损,确定损失范围(目前权限原因损失的是出口流量)
2,增强对于流量出口的限制.像目前网上已经暴露的一些矿机池的IP源.
3,修改服务器密码,找到矿机程序并删除,检查是否有非自己创建的定时任务
4,针对本次矿机的植入原因是jenkins的高威漏洞(CVE-2018-1999002,CVE-2018-1999043)导致,仔细排查,此次中招的是漏洞是CVE-2018-1999043漏洞,升级到最新的jenkins,修改jenkins的配置
针对高危漏洞CVE-2018-1999002,需要开启Enable security 和取消 Allow users to sign up的选项
jenkins安全权限配置信息
三,防范
1,jenkins,nexus,redis 都存在可能植入矿机程序的漏洞,对应的服务器做好流量的出入控制.
2,定时修复服务器的密码,关注对应漏洞的发布和及时响应针对漏洞的版本升级.
3,jenkins可能通过跨域访问植入(访问了恶意网站导致jenkins cookie泄露 ),chrome的话可以载入一些检测挖矿脚本的插件,推荐两个
MinerBlockgithub地址:https://github.com/xd4rker/MinerBlock
No Coingithub地址:https://github.com/keraf/NoCoin/
长按二维码 ▲
订阅「架构师小秘圈」公众号
如有启发,帮我点个在看,谢谢↓
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!相关推荐
- 服务器中了挖矿病毒的检测及删除方法
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
- 服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
- 由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程
由于Redis后门漏洞导致服务器被注入挖矿脚本解决过程 事件描述 某一天的早晨,我还是像往常一样搭着公交车开启打工仔的一天,一早8.30就到办公室了,坐着玩手机等上班,就这这时突然我组长飞快的回来办公 ...
- 阿里云服务器中招挖矿病毒XMrig miner解决方法
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用.今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu ...
- gitlab漏洞导致服务器被植入挖矿程序
记一次安全告警事件的处理 服务器上gitlab又被利用来挖矿 挖矿程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞GitLab rce ( ...
- AWS 云服务器中kdevtmpfsi挖矿病毒处理方法
从top 命令可以看出有一个名称为kdevtmpfsi 的进程占用cpu 特别高,高达780% 8核的cpu一个进程就占用这么多,而亚马逊云平台确显示实例运行状态正常,真是感到不可理解 1 先使用 p ...
- Jenkins漏洞导致Linux被挖矿
问题发现 2022-4-7 14:05:00 腾讯云报警CPU100%. 问题处理 2022-4-7 14:08:00 查找高CPU进程,发现是Jenkins上有一个服务正在消耗CPU.而且该服务无法 ...
- 服务器的安全应该从哪些角度考虑-中了挖矿病毒
我们有客户服务器区域中了挖矿病毒, 这个应该怎么防护,服务器的安全应该从哪些角度考虑 ********* 这个东西比较复杂,关键就是怎么感染的挖矿病毒,首先你要把原始的这个边界上的那个防火墙检查一下, ...
- 记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!
突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!! 1.首先执行 top 查看具体占用 果然不出所料,中了挖矿病毒,下面开始清除 2.直接杀死进程 kil ...
最新文章
- Android 双击返回键退出程序 实现
- 用c语言大一个三角形图形,c语言图形,请高手修改,效果是一个三角形绕一点旋转一周...
- android 线性布局 底部,java – 如何在android线性布局中对齐父底部?
- 关于无法用127.0.0.1连接数据库的解决办法
- ubuntu20.04运行海商王2
- python简单实践作业答案_python入门实践四:爬取牛客网面试专项练习题及答案
- LeetCode450题—— 删除二叉搜索树中的节点
- PAT 7-14 公路村村通
- jbpm6 mysql_JBPM6把默认的H2数据库替换成mySql
- 课程作业记录10:63位PN码序列扩频通信Matlab仿真
- 【jQueryWEUI】自定义对话框-带有textarea
- 最少拍控制系统设计(二)纹波问题分析与无纹波系统的设计与仿真(附matlab和simulink源文件)
- Node.js中exports和moudle.exports
- 《羊了个羊》还在火!创始人被制成展牌,竟成母校招生“活广告”?
- mysql 备份 发送邮件_mysql 自动备份发邮件 到指定邮箱
- 几种优秀的屏幕录像软件用法介绍(图)
- 使用Python对股票数据进行数据分析(二)-使用ta-lib库获取日线行情、5日均线、10日均线行情并显示
- 黏贴图片到word文档图片显示不全,只显示一行(保姆级图文)
- Eversipn STT-MRAM的MJT细胞
- 童年游戏 世嘉MD 美少女战士 最高难度 一命通关视频
热门文章
- java和jvm_Java、JVM和操作系统之间的关系,写给新人,
- python3 next()_Python3 File next() 方法 - Python 3 基础教程
- 【学习笔记】和式(《具体数学》第二章)
- 【图论专题】差分约束系统
- 一年月份大小月口诀_有关12个月份的顺口溜
- 前端入门(雷云特效,css)
- xunsearch mysql,如何使用xunsearch
- matlab噪声倍频带声压级,近海风电场水下打桩噪声传播特性
- [UOJ55]紫荆花之恋
- 基于java的IO流的文件读取系统