记一次阿里云服务器被感染挖矿病毒ZIGW处理

最新推荐文章于 2024-09-10 20:00:52 发布
最新推荐文章于 2024-09-10 20:00:52 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: Linux 文章标签: zigw 挖矿 cpu占用高 阿里云 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37698433/article/details/84839672
版权

记一次阿里云服务器被感染挖矿病毒ZIGW处理

  1. 背景:有一天忽然发现阿里云部署的网站一打开本地cpu就跑满,然后到阿里云网站查看说是有感染zigw挖矿病毒。然后登陆阿里云服务器,用top命令查看看到cpu使用率有一个程序是使用率到了300%,然后一查说是有个挖矿病毒,按照网上的方法解决了,把linux服务器中的病毒删掉了。但是网站打开还是cpu占有率很高。下面附解决方法。

  2. 参考资料https://blog.youkuaiyun.com/sayWhat_sayHello/article/details/83988443
    按照上面网址中的办法就可以吧linux服务器中的病毒杀掉了,但是如果你网站也被感染的话,还需要下面操作。

  3. 原因:根据查询被挖矿感染的原因是我服务器中使用了redis,我把redis配置文件设置成可以外网访问。就是我可以用RedisDesktopManager这个redis可视化工具连接到,也就是这个为挖矿的留下了漏洞。
    redis安装配置资料:https://www.cnblogs.com/renzhicai/p/7773080.html
    http://www.cnblogs.com/dami-xiaomi/p/9242405.html
    照着上面俩个连接就可以安装redis并配置好了。
    上述配置存在问题:其中有个配置文件中要修改#127.0.0.1这个位置,
    修改redis.conf文件中的几个配置项
    将bind 127.0.0.1改为#bind 127.0.0.1(即注释掉)这个位置,是为了远程可以访问reidis的功能。但是这样处理就为挖矿程序留下漏洞。所以自己试的时候可以注释掉,但是生产环境时候还是只能本地访问比较好。我后面解决远程访问就是修改的这里。改为只能本地访问。

  4. 按上面的步骤改完以后服务器本地是没什么问题了,但是之前部署的网站打开cpu占用还是基本满的。按照网上说法是挖矿程序感染了网站的js文件,既然感染了,那我把网站文件删掉冲新打包部署后就可以了。
    在这里插入图片描述
    上图是chrome浏览器打开被感染网站F12以后看到的。画红框的都是js注入的内容,在本地起了8个线程,一直在使用本地资源挖矿,然后指向了右边那个站点,我ping了一下是台湾高雄的站点。
    这种情况就需要重新打包部署网站。完了以后就没问题了。

如有帮助请支持:()
在这里插入图片描述

服务器中了挖矿病毒的检测及删除方法
penriver的博客
12-13 8829
本文提供了服务器中了挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
阿里云服务器挖矿病毒minerd***的解决方法
weixin_33758863的博客
12-28 536
早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器CPU的资源占用,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法。下面是我把minerd给杀掉的过程,希望对大家有帮助。步骤如下:1、关闭访问挖矿服务器的访...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2383
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2739
一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
阿里云CentOS病毒排杀
This My Life - chisj
12-03 1045
1、查看CPU消耗 # top 2、查看进程信息 # ls -lah /proc/23397/ 进程号23397就是通过top查询出来的异常进程 3、删除源文件 # rm -rf zigw rm: cannot remove `zigw': Operation not permitted 提示没有权限,通过chattr移除权限 # chattr -aij zigw 同样的方法删除s...
项目测试之redis小结--安全问题,解决zigw进程,bind配置,收到阿里云的短信
成君的博客
11-25 840
遇到的问题: 1、zigw挖矿病毒,--kill掉后反反复复重现 2、配置bind ip后 ./redis-server redis.conf启动没有报错,ps aux|grep redis也没显示到进程   问题原因: 原本在阿里云部署的redis,1是没有设置密码,2没有配bind ip,导致当外网访问redis的时候,被“矿鸡”劫持。问我怎么知道? 症状:访问项目首页的时候整个页...
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 3014
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称为 kinsing,需要kill后才...
阿里云ESC服务器踩坑集合
王文萱的博客
03-08 647
阿里云ESC服务器安装tomcat后无法远程访问
关于我的阿里云服务器被入侵 - 分析报告
最新发布
weixin_60033897的博客
09-10 2265
因为是第一次租云服务器,所以出现了很多的问题,最严重的就是安全问题了,而且问题还是很多的。因为黑客会用各种方式入侵你的服务器,来使用你的服务器资源挖矿,或者获取你服务器的信息,甚至将你的数据锁住来让你给他转账。这些问题真的防不胜防,身为一个程序员,在进行项目开发的时候,首先要考虑的就是安全问题,接下来我将以时间线来叙述我遇到的安全问题,以及怎么提防。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3989
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云自变异病毒处理-clamav
ba_pi的博客
07-14 859
阿里云自变异病毒处理 前几天因为yapi的一个漏洞,导致服务器遭受攻击。说一下处理流程。 1.通过top查找占用cup和内存的可疑程序。 2.通过进程号找到按照目录,删除文件,停用程序。 一开始我就是这么干的,没过多久,阿里云报了一个自变异病毒,我准备去查询进程号,使用netstat,ps,lsof命令我发现不对劲了,没有任何反应 登录到服务器查询/bin目录,文件大小不对,可以明确感染文件不止一处,所以需要通过软件进行全盘扫描。linux下比较常见的杀毒工具是clamav,于是决定安装扫描全盘。 二、安
阿里云服务器挖矿病毒解决方法
慌途L
04-01 4622
公司一直用的阿里云服务器进行生产环境的部署,但是最近某一台服务器上的CPU使用率一直达95%以上,经过排查项目和代码、定时脚本等,都未发现问题根源,但是有一个文件的占用 排查:查看CPU占用率 在服务器上使用命令:top -c 查看进程运行的信息列表 再按下大写的:P 使进程按照CPU使用率排序 类似下图(这里只做演示,非实际情况): 然后可以看到 /usr/local/lib/.libs 占用cpu 再接着就是杀进程(这里要排除不是自己的项目所涉及到的) 但是每次杀完之后,CPU就降了下去
一次服务器中病毒挖矿事件处理
大漠知秋的加油站
04-18 2924
  事情是这样的,发现 RabbitMQ 服务响应非常慢,可以说是基本不响应、无法提供服务了。这时就去服务器上面查看,发现 CPU 的资源被一个叫做UxYhf8的程序严重占用。 第一次处理   看到 CPU 飙升太,发现这个程序也不是自己所知道的任何一个程序,所以就怀疑中挖矿病毒了。首先把这个程序给kill掉,只能先kill掉了,不然卡的都快无法操作了。 # 34534:挖矿程序的 pid ...
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 3652
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
一次使用腾讯云服务器疑似被挖矿的经历及排查办法
The_real_undertaker的博客
05-30 866
当然,最后没有解决掉我的问题,因为我发现压根从mysql找不到那个线程,所以直接怀疑mysql进程有问题,应该是有狗子用mysql用户启动了一个进程,然后我以为是mysql服务器的进程,实际上是一个挖矿程序,好吧,破案了。综上,我发现在云服务器上,不管是勒索,还是挖矿,都跟mysql有关系,所以一定得做好安全防护,已知的就有,mysql数据库密码强度;当时使用了top命令,发现占用的程序时mysql,cpu应该是100,命令是一个奇怪的数字。最后,我把那个占用的进程咔嚓了。通过top命令找到pid。
阿里云服务器被pnscan挖矿病毒入侵如何解决?
m0_64344919的博客
01-26 1385
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
云服务器中挖矿病毒了怎么办?
编码人生
11-22 7603
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器中挖矿病毒了,一般情况下中了挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
一次解决阿里云挖矿病毒(kthreaddk)方法
imning1的博客
06-06 1877
通过top命令查看占用的是这个进程,杀掉之后重复操作
一次阿里云服务器挖矿病毒处理
kk.xie的博客
09-11 7688
1.收到阿里云发来的预警短信 【阿里云】尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可...
购买的腾讯云服务器一直被ddos恶意攻击怎么解决
weixin_67757219的博客
04-20 3101
最近小蚁君发了很多关于阿里云服务器被攻击的文章,有不少客户来问,小蚁小蚁那腾讯云服务器被攻击了怎么办呢?其实所有服务器被攻击都是万变不离其宗!今天小蚁君给大家说道说道腾讯云服务器被攻击了怎么办? 处理 ddos 攻击的最少成本是防止 ,不要等到攻击到来再防御 ,首先成本远超攻击前的防御 ,因此 当ddos 攻击开始时防御 ,不但会造成 额成本 ,如果有把柄在黑客手中 ,就更加 麻烦了,所以事前防御才是上上策 。 想避免 DDOS 攻击 ,务必先搞清楚 ,当今销售市场 99 %的DDOS攻击是对于
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

易菲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值