关键词:
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
SSH远程登录客户的Linux服务器,查看当前的进程发现有一个特别的进程占用了百分之100
的CPU,而且会持续不断的占用,我们查了查该进程,发现不是linux的系统进程,我们对进程
的目录进行查看,发现该进程是一个木马进程,再仔细进行安全分析,才确定是目前最新的挖
矿木马病毒,挖的矿分很多种,什么比特币,什么罗门币的,太多太多,看来现在的挖矿技术
扩展到了入侵服务器进行肉鸡挖矿了。
挖矿木马的检测与清除
我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器,看
里面写的代码是以root权限运行,并自动启动计划任务,当服务器重启时继续执行计划任务,
导致客户怎么重启都于事无补,还是卡的要命。该木马代码还调用了一些Linux系统命令,bashe
bashd来挖矿,该命令是最直接也是占用CPU到顶峰的关键,太粗鲁了,这样的挖矿本身就会让
客户发现问题,看来挖矿者只顾着赚钱,不考虑长久之道了。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
然后去安装腾讯御点,可以修复漏洞和杀毒的
左侧可以看到有个病毒查杀功能,使用这个功能去杀毒
redis后门导致被挖矿minerd解决办法
参考链接:http://www.cnblogs.com/zhouto/p/5680594.html本次产生挖矿minerd入侵的主要原因是由于redis的漏洞造成;redis安全:http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/在服务器中执行top查询,发现有minerd进程占用CPU达到90%多 查看详情
我的大脑被挖矿代码搞的不能好好思考了(代码片段)
我被攻击了个人服务器去年底最后两天被攻击了,因为一些事情拖着没来得及处理,今天实在忍不住了,记录一下被攻击后发现以及修复的过程。2019-12-3023:39:44云盾预警访问恶意IP178.170.189.5这一次预警中有一个关键字“kdevtmpfsi... 查看详情
又被挖矿,求解决方案(代码片段)
运气好得不得了,又被挖矿了,而且这次完全没有头绪。简单说下目前掌握的信息。1.父进程是svchost.exe-knetsvcs。父进程svchost启动的挖矿进程是svchost.exe。指向的地址是http://91.121.2.76:80直接在浏览器中访问的话能看到pool.minexmr.com0... 查看详情
阿里云服务器被挖矿了怎么办?(纯纯电脑小白
因为某些原因整了这个服务器,但是发现完全不会用(我是菜鸡),就一直搁置着,然后这两天发了好几条短信提醒有挖矿程序,咱也不会弄,它那个"处理"又要升级,不想搞。只有升级这一个方法吗?有没有别的方法?不... 查看详情
linux入侵预防排查(代码片段)
入侵排查定时任务排查定时任务crontab是挖矿病毒都会用到的东西,所以定时任务一定要看。1.crontab-l#列出所有的定时任务2.crontab-r#删除所有的定时任务,可能会删除我们自己的配置信息,不推荐使用3.crontab-e#编辑cront... 查看详情
记录一次排查挖矿:快速跟踪一个进程
记录一次服务器排查挖矿问题,这次突发事件整得整个小组措手不及。总结一下,其实是hadoop集群yarn的一个低版本端口漏洞导致。具体可以参考:https://paper.seebug.org/611/ 1.查看服务器CPU飙升卡爆,最后发现是服务器在跑... 查看详情
hadoop基础之《—yarndr.who用户漏洞被挖矿》(代码片段)
一、背景dr.who用户执行了很多application,服务器被挖矿。因为yarn的8088端口RESTAPI没有做权限控制,允许任意用户通过API创建任务1、创建应用curl-v-XPOST'http://192.168.1.1:8088/ws/v1/cluster/apps/new-application'2、构建json文件 "a... 查看详情
cpu占用率爆满,服务器遭遇挖矿如何排查(代码片段)
写在前面之前上学在阿里云租了台学生服务器,装了一个Docker玩,后来不知道怎么回事,通过Docker连客户端暴露的端口被植入了国外的挖矿木马,只部署了一个毕设项目,CPU天天爆满,机器被拉去挖矿了&#x... 查看详情
记一次xmrig挖矿木马排查过程(代码片段)
问题现象Linux服务器收到报警信息,主机CPU跑满。自动创建运行Docker容器xmrig,导致其他运行中容器被迫停止。问题原因通过top命令可以看到有一个xmrig进程占用了99%的CPU。经定位,该进程是一个挖矿木马程序,通过上述截图可以... 查看详情
cpu被挖矿,redis竟是内鬼...(代码片段)
大家好我是周杰伦却说这一日,Redis正如往常一般工作,不久便收到了一条SAVE命令。虽说这Redis常被用来当做缓存,数据只存在于内存中,却也能通过SAVE命令将内存中的数据保存到磁盘文件中以便持久化存储。只... 查看详情
记一次阿里云服务器因redis被挖矿病毒crypto和pnscan攻击的case,附带解决方案(代码片段)
一、事情缘由云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作:开放了ssh(port:22)端口:为了远程连接使用。开放了剩余的其他所有端口:录制教学视频时启动了相关... 查看详情
记一次阿里云服务器因redis被挖矿病毒crypto和pnscan攻击的case,附带解决方案(代码片段)
一、事情缘由云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作:开放了ssh(port:22)端口:为了远程连接使用。开放了剩余的其他所有端口:录制教学视频时启动了相关... 查看详情
入侵溯源排查服务器被勒索比特币,服务器中了挖矿木马,服务器端口不定时关闭,服务器镜像文件突然缺失,服务器某一时刻cpu占用过高,服务器密钥文件突然不可用,服务器密码突然不可用无法登录服务器(代码片段)
...;博主:Java廖志伟🍊社区:幕后大佬文章目录服务器入侵溯源排查服务器被勒索比特币,服务器中了挖矿木马,服务器端口不定时关闭,服务器镜像文件突然缺失,服务器某一时刻CPU占用过高,服... 查看详情
阿里云windows服务器如何去除挖矿病毒
参考技术A找到进程,然后找到他文件路径,干掉进程,删掉文件。另外找找其他可疑进程,避免病毒有守护进程或者其他隐藏进程 参考技术B回答查看挖矿程序目录输入命令ls-lproc/进程号/exe,可以查看该程序的目录。在这里插... 查看详情
windows系统入侵排查与应急响应技术(代码片段)
文章目录前言入侵排查系统账户排查进程端口排查启动项的排查计划服务排查系统信息排查日志信息排查应急工具总结前言前面一篇文章:浅析Linux系统入侵排查与应急响应技术介绍了Linux系统的应急响应技术,本文来学... 查看详情
11个步骤完美排查服务器是否被入侵
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考:背景信息:以下情况是在CentOS6.9的系统中查... 查看详情
liunx挖矿程序排查思路(代码片段)
最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下:安全告警邮件查看异常情况输入top,输入shift+P会按照cpu的使用率大小从大到小进行排序,发现有异常进程7140与7129[root@www-site-e... 查看详情
阿里云服务器被检测到有挖矿程序(代码片段)
目录参考 1.首先进入自己的云服务器top//查看占用CPU最高的进程ls-l/proc/xxx/exe//查看挖矿进程的执行文件链接,xxx表示该进程的PID rm-f/root/.configrc/a/kswapd0//删掉该文件killxxx//杀死挖矿进程,xxx表示该进程的PIDcrontab-l//排查可疑的... 查看详情