糟糕!我的服务器CPU被黑客挖矿了
距离上次服务器被黑也有一年多了,想不到今天服务器再一次被攻破!
上次是因为MySQL数据库的密码太简单,数据库端口为默认的3306,后来我采取了一系列的补救措施,才恢复了数据,详见我之前写的这篇文章——《删库跑路 + 比特币勒索?我的MySQL被黑客攻破了》。
最近,我发现外网进系统比较卡,各类https请求的响应时间也比以往的长,于是我登入服务器检查了情况,才发现服务器又被黑了!
这次服务器被黑,跟之前不一样,数据并没有被销毁,而是在我服务器上植入了一个进程——csvchost.exe。
svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个该文件的进程。
来源 百度百科
没错,这是一个正常的系统文件,为什么会如此占用CPU呢?
其实很容易就可以猜到,这就是伪装的病毒文件。
但我想知道这是什么,于是我右键,打开文件所在目录。
这是在公用用户目录下的一个可执行文件,被NSSM封装为一个服务执行。
NSSM是一款可将Nodejs项目注册为Windows系统服务的工具。当你的Node.js项目需要部署在Windows Server上时,NSSM是一个不错的选择。
那么黑客的目的是什么呢?我打开了本目录下的配置文件。
配置文件中有一大串文本,其中有一段配置引起了我的注意:
"pools": [
{"algo": null,"coin": null,"url": "mine.xxxxx.com:13333","user": "43aZZQ2huB3V4Fj5SV1q1cT5JL1Dii7HXQwZc6hiiaUz2kLixv1g2ELDNRuXFGvqZjf2dKmxoJVYQDFKKwk3bKmDKjmRtbu","pass": "windows_php_2021_08_09_02_45_42","rig-id": null,"nicehash": false,"keepalive": true,"enabled": true,"tls": false,"tls-fingerprint": null,"daemon": false,"socks5": null,"self-select": null,"submit-to-origin": false
}
],
其中有一个url配置(具体网站被我替代掉了),我打开了这个网站的根域名,发现了“矿工”、“CPU挖矿”等等词汇。
简单来说,就是你的服务器被别人拿去当奴隶了!
别人用你的服务器资源,跑他的程序,帮他赚钱!
服务器被挖矿有很多的弊端,最直接的就是服务器资源被非法程序占领,正常程序获取不到应得的资源,容易造成服务器崩溃。
至于这个病毒是怎么进来的呢?云服务器上貌似有很多人都遭遇过这个问题,这个问题是由于Redis漏洞造成的。
大致思路是先通过Redis的6379默认端口,将身份认证文件放在ssh下,然后就可以登入服务器放文件了!
单单把这些文件删除了可能治标不治本,黑客直接登入 history 一查,就知道了做了啥修复手段。
那么我们如何防范呢?
1.Redis服务器不要开放6379默认端口,设置Redis密码,防止身份认证文件写入。
2.安装杀毒软件,及时修复安全漏洞
3.打开ssh下的authorized_keys, 删除没用到的密钥组
原文CSDN链接:https://zwz99.blog.csdn.net/article/details/119672623
另外看了看他们的文档,发现我4核16G的服务器,只是他们的一般级CPU,心里有点小小的失落,现在的服务器都这么强了吗?
最后,也不知道挖矿病毒清理干净了没有,先观察一段时间吧......
糟糕!我的服务器CPU被黑客挖矿了相关推荐
- 记几次被恶意挖矿程序占满linux服务器cpu的经历
过程一: 1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9 pid 杀 ...
- 记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(一摸一样,只是没查到怎么进来的,入侵)
centos 7 记一次阿里云服务器被被种挖矿程序解决的过程 1.原因 偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下 2.查看进程 1 [root@izwz94xp1kwkca ...
- 服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满) 前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱.短信以及电话通知(监管部门是不允许服务器被直 ...
- 虚拟机服务器被攻击,Linux服务器被攻击用来挖矿了
服务器CPU占用100%,一看进程名为bash的占用的.几个相同密码的虚拟机都遭了. 查了下,是被用来挖矿了,囧. [root@localhost ~]# cat /tmp/.bash/bash #! ...
- 多事之秋-最近在阿里云上遇到的问题:负载均衡失灵、服务器 CPU 100%、被 DDoS 攻击...
昨天 22:00~22:30 左右与 23:30~00:30 左右,有1台服役多年的阿里云负载均衡突然失灵,造成通过这台负载均衡访问博客站点的用户遭遇 502, 503, 504 ,由此给您带来麻烦, ...
- 全方位了解服务器 CPU
服务器的中央处理器(CPU),在内部结构上是跟台式机的差不多,它们都是由运算器和控制器组成,CPU的内部结构可分为控制单元,逻辑单元和存储单元三大部分.当然工作原理也是一样.随着两者的需求和发展,台式 ...
- 服务器CPU占用高问题处理记录
服务器CPU占用高问题处理记录 发现问题 客户采购的硬件服务器,我在上面从零开始搭建环境,部署微服务那一套,最近发现在服务器上执行命令卡顿,需要等1-2秒才能出来结果,然后执行 top 发现CPU占用 ...
- 华为云服务器,被植入挖矿机病毒
华为云服务器,被植入挖矿机病毒 Linux 主机基本配置 Linux 挖矿机病毒 Linux 中毒的一般表现有哪些? Linux 中毒后的后台情况 Linux 中毒后系统排查 第一步:一开始的时候是怎 ...
- 二手服务器cpu性能,二手服务器cpu当主机
二手服务器cpu当主机 内容精选 换一换 云手游服务器通过GPU硬件加速与图形接口支持,实现手游在云端运行效果,适用于手机游戏试玩推广.游戏智能辅助等场景.云手游服务器的CPU分为两类:Hi1616和 ...
最新文章
- 蓝鸥Unity开发基础——Switch语句学习笔记
- flask img标签图片中src链接添加变量问题(好坑啊,不过终于成功了!!)
- NYOJ 264 国王的魔镜
- AtCoder AGC034D Manhattan Max Matching (网络流)
- 当内容超出最大的长度的时候,使用CSS使文本显示省略号
- linux终端背景透明度设置,Ubuntu Terminal标签背景颜色设置
- androidfiletransfer_mac手机助手(Android File Transfer)下载_mac手机助手(Android File Transfer)官方下载...
- 超时尚的UI电子商务PSD分层模板,临摹学习必备
- 想要更好的云基础设施管理!你检查IT工具集了吗?
- iview兼容ie8_iview在ie9及以上的兼容问题解决方案__Vue.js__JavaScript__前端__iView
- 海外同行首次大规模声援996.ICU,微软和GitHub员工签署联名信,一夜4700星
- 【响应式布局】理解设备像素、设备独立像素和css像素
- 服务器无法分配系统页面缓冲池中的内存
- vim命令大全(最全)
- 照相机的曝光(光圈和快门)
- 湖南科技学院计算机代码,湖南科技学院计算机与信息科学系.doc
- DIY Arduino计步器
- 【uniApp 接入萤石云】
- matlab数据归一化与反归一化处理
- [SQL]如何实现表数据的去重