linux——挖矿程序处理
记一次挖矿程序入侵以及解决实操!
1,过程记录
系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。
无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。
使用crontab -e查看当前系统的定时任务信息,如下:
显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下:
很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。
并且定时任务文件显示的内容和redis有关,立马联想到前端时间刚安装的redis,存在的安全漏洞问题!(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)
2,解决思路
|
1,crontab -e查看系统定时任务是否有恶意下载链接 2. top命令查看当前耗CPU进程,找到该进程文件所在位置 。chmod -x nanoWatch ,取消掉执行权限, 在没有找到根源前,千万不要删除 nanoWatch,因为删除了,过一回会自动有生成一个。 3. pkill nanoWatch ,杀掉进程 4. service crond stop 或者 crontab -r 删除所有的执行计划 5. 执行top,查看了一会,没有再发现minerd 进程了。 |
3,解决步骤
|
1. 修复 redis 的后门, 1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379. 2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中. 3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度 4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf 2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号 3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉. |
linux——挖矿程序处理相关推荐
- Linux 挖矿程序把病毒文件锁住了,删不了,怎么破?(chattr)
- 记几次被恶意挖矿程序占满linux服务器cpu的经历
过程一: 1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9 pid 杀 ...
- 记录ECS Linux系统出现xmrig挖矿程序
记录ECS Linux系统出现xmrig挖矿程序 最近收到阿里云检测服务器出现了紧急安全事件:挖矿程序,炸一看,额...... ,吓了一跳,这是哪里冒出来的,结果看到如下图所示,开始进行了排查. 原因 ...
- linux服务器挖矿程序xmrig入侵以及解决方案
记一次Xmrig挖矿木马排查过程 2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,马上打开电脑查看 控制台CPU占用 原因分析与解决方案 寻找原因 查找挖矿进程 top ...
- 记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(一摸一样,只是没查到怎么进来的,入侵)
centos 7 记一次阿里云服务器被被种挖矿程序解决的过程 1.原因 偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下 2.查看进程 1 [root@izwz94xp1kwkca ...
- 【警惕】大量未修复WebLogic WSAT组件RCE漏洞的主机被挖矿程序攻击
警惕 从1月1日开始,大量未修复WebLogic WSAT(全称:Web Services Atomic Transactions)组件RCE漏洞的主机被挖矿程序攻击,尤其是1月3日,更是大面积爆发 ...
- linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录 起因 清除过程 确定病因 开始清除 复发 定时任务 update.sh分析 修复 样本分析:networkservice文件的分析 分析准备 功能分析 sysguard 样本下载 *本文中涉 ...
- 阿里云服务器被挖矿程序侵入问题
一.起因 公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内).一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程 ...
- 解决:服务器种挖矿程序的一次实战记录~
早上来公司,客户报系统不能登陆了.我以为简单的应用挂机问题,后来发现是cpu超200.直接使服务器宕机!猜测是被植入了挖矿程序,后来经过证实果然是.于是开始和植马的狠人斗智斗勇.用尽浑身解数终于解码. ...
最新文章
- Net设计模式实例之解释器模式(Interpreter Pattern)
- excel批量删除公式保留数据_Excel实用tips(17) – 批量删除隐藏的工作表
- qq头像计算机系,QQ头像
- apache 反向代理_反向代理?听起来有点东西 ——Nginx学习笔记
- HTTP协议···(一)
- 07-图5 Saving James Bond - Hard Version
- vector详解以及一些问题(C++)
- 钉钉自定义机器人python_钉钉自定义机器人demo
- 使用Excel获取数据
- InnoDB存储引擎:引擎概况
- CAD绘图设计中怎样删除CAD图层?怎样清理CAD图层文件?
- 遥感影像 全色 多光谱
- 求职路艰辛,深圳天瑞地安助力求职人对工作感到无忧
- MySQL——聚合函数和group by分组的使用
- c语言的文字游戏,C语言之文字游戏
- 【老生谈算法】matlab实现遗传算法求解TSP问题——TSP问题
- 电脑桌面一刷新图标就空出来一个
- 拼多多开店靠谱吗?新手怎么开店?
- 基于Servlet的图书商城系统-一天完成毕业设计,就这么简单
- 【rmzt:成龙历险记动漫主题】