阿里云服务器被挖矿程序侵入问题

最新推荐文章于 2024-10-01 10:44:30 发布
最新推荐文章于 2024-10-01 10:44:30 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: Linux Gitlab 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/samfaker/article/details/126487894
版权

一、起因

        公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内)。一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程序,部分端口被禁用。于是白天弄完其他事情后开始处理这个挖矿程序。

二、过程

        之前也有服务器被这样搞过,所以想着处理起来应该也很快,结果,并不顺利,下面展开说

2.1 定位挖矿程序位置

  •  先用top命令查看服务器资源占用情况,发现两个用户是git的exe,把CPU占满了
  •  再用lsof -p [pid]查询程序来源,发现是从100.20.97.83.ro.ovo.sc:https这个地方下载过来的,一查,是国外的ip,挖矿程序在执行完后已被删除
  • 使用su git 进度git用户,使用crontab -l 查看有没有定时任务启动,结果发现也没有,好家伙,没有定时任务,也没有执行程序,那应该是守护进程弄的了。根据某度查询,发现是正在使用的gitlab版本有远程漏洞,所以被钻了空子。
  • 停掉gitlab(gitlab-ctl stop)࿰
最低0.47元/天 解锁文章
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3985
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2589
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
阿里云服务器挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 9101
1、cpu过高,中病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很高的进程,跳到第七步 2、发现了占用率很高的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器中显示c.
阿里云服务器挖矿怎么办
网站安全专家
02-11 5173
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
阿里云服务器挖矿
weixin_44034675的博客
05-31 1646
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
m0_64422133的博客
10-01 1703
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 1343
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
记录阿里云服务器被minerd和kworkerds感染作祟,
逐浪青舟的博客
09-03 7778
2018-09-01周五阿里云云盾通知检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理) 1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟, 2、果断ps -ef | grep ‘minerd’查看pid, 3、使用kill -9 程序的pid 杀死掉, 4、到 cd /tmp/下...
阿里云日志服务:轻松解决大规模日志数据的存储和管理问题
明飞的博客
12-05 1790
阿里云日志服务(Log Service)是一项旨在实现大规模日志数据采集、存储、检索和分析的云计算服务。作为阿里云大数据生态圈的一部分,日志服务为用户提供了强大而灵活的工具,以满足不同规模和类型业务的日志管理需求。
VMware虚拟机如何迁移到阿里云
Doquevi的博客
02-15 5321
1. 前言 最近公司内部研发部门有几台jenkins build机器运行在VMware平台上面,由于本地VMware平台底层计算资源不足导致虚拟机运行速度特别慢,每次版本发布都要build好久,而且VMware有时候计算资源不足,还会自动给占用资源大的机器关机,实在是影响了整体研发迭代速度及效率。 经过内部反馈,最终领导说不行迁移到阿里公有云吧,而且公司的build的微服务镜像也都是push到阿里云镜像库,这样整体速度和运行性能会更好一些,内网环境,而且还可以减少了一部分流量开支,是一个不错的选择;
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2375
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
处理阿里云服务器中的恶意挖矿程序
weixin_43268590的博客
06-24 1179
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云服务器挖矿程序攻击
戴着红领巾走世界
02-08 996
删除恶意脚本文件,直接rm删除不了,需要修改下文件的属性 cd /etc/ rm -f newinit.sh #查看文件属性 lsattr newinit.sh #修改文件属性 chattr -ia newinit.sh 查看定时任务中是否有任务,如果有就删除了此定时任务 * /30 * * * * sh /etc/newinit.sh >/dev/null 2>&1 直接用crontab -e删除没有权限 ...
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5314
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
阿里云服务器遭受挖矿程序的入侵的清理之战
qq_38685242的博客
07-26 2745
最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7。
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5798
阿里云发了很多短信。 进入服务器发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
阿里云服务器遭到挖矿攻击的问题
ahoges的博客
04-24 1053
这两天发现老是被攻击,阿里云提示遭到挖矿程序攻击,我一个top,一看都飙到99%了(阿里云服务器牛逼),网上给的一些解决方案都不行,然后我发现我的docker上面凭空多了一个到两个ubuntu容器,容器和镜像的创建时间是被修改过的,一开始都没注意到,把容器停止,删掉镜像,挖矿程序果然就不见了。 ...
记录解决阿里云ES服务器提示挖矿程序
张先生
12-11 5621
前言 突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前记得备份下 处理过程 1、检查服务器负载与CPU利用率,确定挖矿程序进程 执行命令: top , 如图: 发现有一个 network01的东西占用cup达到了87%,但我在服务器器根目录下的 tmp 下并没有看到这玩意 由上确定了PID进程号,查看进行所在的目录。执行命令, 并没有明确的位置,可以看到可执行文件链接 ll /proc/进程ID 然
阿里云服务器配置conda
最新发布
04-01
### 如何在阿里云服务器上配置 Conda #### 1. 安装 Anaconda 或 Miniconda 为了在阿里云服务器上成功配置 Conda,可以先通过 SSH 登录到服务器并下载 Anaconda 或 Miniconda 的安装包。推荐使用 Miniconda,因为它体积更小且功能齐全。 运行以下命令来下载和安装 Miniconda: ```bash wget https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-x86_64.sh bash Miniconda3-latest-Linux-x86_64.sh ``` 完成安装后,初始化 Conda 并验证其是否正常工作: ```bash source ~/.bashrc conda --version ``` #### 2. 配置国内镜像源 由于网络原因,在国内直接连接官方仓库可能会遇到速度较慢的问题。因此建议配置国内镜像源[^4]: 执行以下命令以添加清华或其他国内镜像源: ```bash conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free/ conda config --set show_channel_urls yes ``` 如果需要移除默认的海外通道,则可以通过如下方式实现: ```bash conda config --remove-key channels ``` #### 3. 创建虚拟环境与管理依赖项 创建一个新的 Python 虚拟环境,并指定所需的 Python 版本号(例如 Python 3.9): ```bash conda create -n myenv python=3.9 ``` 激活该新创建的环境: ```bash conda activate myenv ``` 在此环境中安装必要的库或工具集,比如 NumPy 和 Pandas: ```bash conda install numpy pandas ``` #### 4. 启动 Jupyter Notebook 实现远程访问 按照之前的描述设置好防火墙规则之后,启动 Jupyter Notebook 来允许外部设备进行访问[^1]。首先生成密码保护机制以防未授权用户的侵入操作: ```bash jupyter notebook password ``` 接着修改 `~/.jupyter/jupyter_notebook_config.py` 文件中的监听地址部分为公开 IP 地址或者 `0.0.0.0` 表示接受来自任何地方的数据请求;同时设定固定端口号以便于后续映射处理。 最后再次确认已开放对应的服务端口给公网流量通行无阻即可正常使用此服务了! --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值