排查腾讯云服务器被挖矿病毒【pnscan】挟持
一、问题发现
最新在使用腾讯云部署项目应用,具体方式为docker部署。今天早上发现腾讯云发来一条报警信息:
看到信息中说到攻击行为,怀疑是否中了病毒,决定排查一下问题。
二、排查过程
首先登录腾讯云服务器控制台,发现cpu占用率处于较高水平,接下来登录服务器排查。
1.使用last查看最近登录信息,没有发现什么特别信息;
2.使用history查看历史指令
此时发现所有的histroy都被清空,然而本人并没有更改过设置,昨天使用history还正常,此时立马引起了我的警惕。
3.查看/etc/passwd下的账户信息
此时发现多了一个叫hilde的用户。
此时尝试使用 usermod -L hilde锁定hilde用户,发现并没有权限。
稍后对此问题进行解决。
4.查看日志文件/var/log/secure
less /var/log/secure|grep ‘Accepted’
5.查看日志文件/var/log/message,发现有大量的关键词扫描“scan”
6.使用top查看进程运行信息
其中pnscan进程可以确定是挖矿病毒,rshim为centos系统自带进程。至此可以判断服务器被挖矿病毒挟持。
7.使用netstat查看端口信息
发现此时也没有执行权限,和锁定用户同样的现象,心中默想,这个病毒太猖獗了,居然端口权限也给修改,简直不能忍。
8.使用docker ps -a 查看容器运行情况
因为昨天使用docker安装jenkin容器,此时决定去看看容器运行情况,果然发现了两个并不是自己安装的容器,此时进行了容器的关闭。
9.使用docker images 查看镜像
10.crontab -l查看定时作业,正常
三、解决方案
1.杀进程
杀pnscan进程时突然发现,进程号一直在变化,真是狡猾!于是决定先删除文件;
2.删文件
文件删除后,并重启服务器,pnscan进程消失,但是又多了[scan]进程,于是使用kill -9杀除此进程,发现这玩意杀完之后马上又起一个进程,根本杀不死!
此时觉得应该查看一下系统日志,于是打开/var/log/message,顺着日志中的路径打开文件夹,发现[scan]和[ext4]几乎是同一时间段创建的,百度了一下config_background.json,果不其然,monero:门罗币(此处参考文章:做一次“黑客“,入侵一次自己的服务器)
顺着文章的意思,去查看authorized_keys,果然多了一个puppet的公钥
3.删秘钥
此处参考Linux服务器发现挖矿病毒(crypto和pnscan)导致CPU爆满100的详细解决方法
后续需要进行一系列操作,如修改权限、删用户、删除镜像以及容器、具体解决办法大家可以自行百度
后续参考:
苍了个天,记一次Linux(被)入侵…
阿里云服务器被恶意程序攻击解决详情:您有服务器因攻击被限制访问部分目的端口
排查腾讯云服务器被挖矿病毒【pnscan】挟持相关推荐
- 记云服务器中挖矿病毒与防范
文章目录 前言 大致过程 发现过程 应对措施与防范 前言 我自己的一台腾讯云服务器还有工作室指导老师的电信云服务器都中过挖矿病毒,其特征都是出现CPU拉满的情况. 腾讯云 电信服务器 大致过程 发现过 ...
- 云服务器中挖矿病毒了怎么办?
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去 ...
- 腾讯云服务器被黑客挂pnscan病毒排查
今日睡醒,突然收到腾讯云的一条信息,点击一看居然提示我服务器在进行违法行为. 作为一名人尽皆知的合法公民,我大吃一惊,当即又睡了过去. 后来下午的时候才记起来,就上服务器看了下,发现CPU已经超负荷, ...
- 阿里云服务器被挖矿病毒minerd***的解决方法
早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之 ...
- 阿里云服务器中挖矿病毒处理方法,centos7
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿的病毒. 然后我查资料,说是先通过 /proc/pid/exe 找到进程路 ...
- 阿里云服务器被挖矿病毒入侵处理
前言 最近个人阿里云轻量应用服务器cpu一直满负荷运行,原来是被挖矿病毒入侵了,这里记录一下和病毒斗智斗勇的过程. 杀掉进程 top查看进程id 杀死进程 kill -9 11353 杀死进程 清理定 ...
- 【云服务器】阿里云服务器遭遇挖矿病毒、被远控的解决方法(亲测有效)
目录 1.阿里云服务器为什么容易被运控,中病毒 2.解决方案(以下只是我个人的理解) 注意:记得重置系统,病毒很难清理干净的 1.阿里云服务器为什么容易被运控,中病毒 相信各位小伙伴们一定也会遇到阿里 ...
- 记一次阿里云服务器中挖矿病毒处理
1.收到阿里云发来的预警短信 [阿里云]尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云 ...
- 阿里云服务器中挖矿病毒解决办法(已实践)
1.cpu过高,中病毒了 2.进入Linux连接阿里云服务器 3.使用top命令动态查看cpu占用率 两种情况 1.未发现占用率很高的进程,跳到第七步 2.发现了占用率很高的进程,使用kill -9 ...
最新文章
- 2013:奇虎360最好的时光
- 南京微盟计算机,南京微盟 ME6118A50B3G ME6119A33PG ME6119A50PG 稳压IC
- c语言自定义函数程序设计,ch3自定义函数设计 C语言 《解析C程序设计》.ppt
- 教你如何成为一名区块链工程师!
- SQL Server-创建表格、各种约束条件
- 2016级算法期末上机-F.中等·AlvinZH's Fight with DDLs II
- 11月11日:一个人的情人节
- Request_获取请求行数据_方法介绍
- 前端学习(2589):前端权限的设计思路
- Sql Server 2016数据库生成带数据的脚本
- cmd控制远程电脑运行程序_电脑远程控制怎么,远程桌面开启教程
- 空气培养皿采样后保存_六级撞击式微生物采样器是什么?用途有哪些?
- Coinbase与CS: GO比赛组织者BLAST Premier签署赞助协议
- 前端web 技术盘点
- 客户价值分析—RFM模型及变形
- linux登录用户who,Linux用户登录查看命令总结 - w,who,last,lastlog
- 多线程获取不到HttpContext
- 前端网络基础-GET和POST的区别
- 1、git提交码云拉取创库地址
- 如何在Photoshop里抠头发丝