一、起因

公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内)。一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程序,部分端口被禁用。于是白天弄完其他事情后开始处理这个挖矿程序。

二、过程

之前也有服务器被这样搞过,所以想着处理起来应该也很快,结果,并不顺利,下面展开说

2.1 定位挖矿程序位置

  • 先用top命令查看服务器资源占用情况,发现两个用户是git的exe,把CPU占满了
  • 再用lsof -p [pid]查询程序来源,发现是从100.20.97.83.ro.ovo.sc:https这个地方下载过来的,一查,是国外的ip,挖矿程序在执行完后已被删除
  • 使用su git 进度git用户,使用crontab -l 查看有没有定时任务启动,结果发现也没有,好家伙,没有定时任务,也没有执行程序,那应该是守护进程弄的了。根据某度查询,发现是正在使用的gitlab版本有远程漏洞,所以被钻了空子。
  • 停掉gitlab(gitlab-ctl stop),按照指引升级gitlab版本到无漏洞的版本,这里我选择了13.9.7(Index of /gitlab-ce/yum/el7/ | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror),由于服务器端口被禁用,弄的下载都下不了,只能从其他地方下载安装包,然后传到服务器。
  • 安装升级完成后,top发现还有git用户的进程在运行,全部kill掉,再启动gitlab,就解决掉了挖矿程序问题,后续再观察一段时间,看有没有复发。

三、其他

过程中用到了busybox(https://busybox.net/downloads/)这个程序,主要是防止linux基础指令也已经被挖矿程序给修改,导致完全被挖矿程序骗的情形。

参考链接:

git-linux-xll?x11-unix 挖矿病毒问题定位与处理 - 知乎linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒_weixin_39542093的博客-CSDN博客

阿里云服务器被挖矿程序侵入问题相关推荐

  1. 【解决阿里云服务器提示挖矿程序风险2022】

    解决阿里云服务器提示挖矿程序风险2022-10 搜索删除含system-private相关的所有文件 如图:system-private.... 2.清除定时任务 3.修改文件可执行权限 4.清除路由 ...

  2. 阿里云服务器被挖矿程序minerd入侵的终极解决办法[转载]

    突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm ...

  3. 阿里云服务器提示挖矿程序 该怎么解决

    阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安 ...

  4. 阿里云服务器被挖矿程序minerd入侵的终极解决办法

    突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm ...

  5. 阿里云服务器处理挖矿程序过程

    登录阿里云服务器终端,执行top命令,发现有一个进程netflix占用了98%的cpu,消耗了我的CPU积分,阿里云CPU积分被消耗后,网速就会变慢. 判定其为挖矿程序后,干他 解决办法: # 1.进 ...

  6. 解决阿里云服务器提示挖矿程序风险

    最近阿里云天天提示我挖矿,可是我是良民啊,还要封我号,把我吓够呛啊. 后台通过CPU 被挖矿,Redis 竟是内鬼!_CSDN云计算-CSDN博客 这篇文章有所启发,大家可以看下 目前没提示,后期再提 ...

  7. 阿里云服务器糟挖矿程序攻击

    最近新买的阿里云esc服务器,搭建好环境运行一周多就天天收到安全告警短息,终于昨天搭建的服务崩溃了,CPU和内存达到极限,打阿里云客服也帮不上忙,于是开始了服务器的杀毒操作. 删除恶意脚本文件,直接r ...

  8. 阿里云服务器被挖矿病毒minerd***的解决方法

    早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之 ...

  9. 阿里云服务器被挖矿minerd入侵的解决办法,导致tomcat启动很慢

    上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似, ...

最新文章

  1. XamarinAndroid组件教程RecylerView动画组件使用动画(2)
  2. php图片滑动的属性,使用css怎么实现图片的滑动效果?(示例)
  3. ​CVPR2021最佳学生论文提名:Less is More
  4. Verilog实现交通灯(数电课设)----------旧
  5. 亚马逊表示并未放弃WP平台:正在打造新应用
  6. php 帝国cms discuz,帝国CMS整合Discuz图文教程
  7. Linux修改用户名(主机名)
  8. 浙江富商的24条至理经验
  9. Python调用海康威视网络相机之——python读取相机rtsp码流显示画面
  10. NCRE一到四级的刷题软件
  11. Bootstrap练习:百度登录框
  12. java pfx 和cer_pfx证书和CER证书
  13. iOS 单元测试和UI测试教程
  14. VMware收购Wavefront增强云管理产品组合
  15. 老毛桃装ubuntu
  16. w7系统怎么开启打印机服务器,Win7如何开启打印机服务?
  17. 多重条件结构(知识就是力量!)
  18. ROS环境下大疆tello无人机源码安装驱动代码解读
  19. [历年IT笔试题]2014京东校园招聘软件开发类笔试试题
  20. android应用案例之Listview

热门文章

  1. 【解决方案】国标GB28181视频监控平台国标流媒体服务器EasyGBS如何实现安保行业日常巡查视频监控系统解决方案?
  2. 苹果、微软、谷歌三巨头联手,“杀死”密码
  3. 苹果app store水军_苹果终止App Store开发者反叛的解决方案
  4. python画太极图
  5. Web自定义表单工具和协同办公系统之集成(1)
  6. 虚拟机和宿主机通过socket通信【C4】
  7. 量化人才之战如何取胜
  8. iPad菜单日渐走热美国
  9. 最适合Java开发者的大数据工具和框架
  10. 高刷显示器变成24Hz的原因及解决方法