云服务器被部署恶意挖矿程序分析

已于 2025-01-01 17:11:05 修改
阅读量739 收藏 5
点赞数 7
分类专栏: 运维 文章标签: 服务器 运维 linux ubuntu 阿里云 云服务
于 2025-01-01 02:44:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44919664/article/details/144860407
版权

文章目录

前言

没想到,2025年的跨年夜居然是在分析恶意程序

背景

我的云服务器密码太过简单,而且放开了ssh端口,于是被人爆了。。。
本来这服务器我只是用作备份文件,压根都不知道被破解了——昨天早上阿里云打电话来,让7天之内解决,不然就停用实例。

好吧看下。

分析

1 查找恶意进程

鉴于恶意进程可能会把top、ps命令换掉,所以我先用apt卸了又重装一遍
在这里插入图片描述这个叫kauditd0的进程跑满了一个核,很明显就是它有问题

2 查看网络相关

在这里插入图片描述emm,在和这几个ip通信,同时我们还发现有个不太占用cpu的edac0进程

3 查找恶意程序位置

/(其实云服务商会提供告警信息,有些甚至可以直接拦截下来)/

查看此进程的父进程,发现是1;查看cmdline发现没有相关信息,看来是做了什么动作给隐藏了

但是没关系——
在这里插入图片描述在这里插入图片描述
lsof看到它们使用的文件辣;

再补充一个:
在这里插入图片描述

/proc/pid/maps

这个它也能改么?

我们似乎还看到了它删除/anon_hugepage文件的行为

恶意程序分析

现在已经找到恶意程序位置了,但直接删了还不太行——因为这狗子还配了免密登录。。。
稍微分析一下恶意脚本:
在这里插入图片描述

/root/.configrc7/a/a

下面是恶意脚本部分截图
在这里插入图片描述
我没看明白它动我systemd干啥

但下面的就很显然了——把一段脚本用base64编码,直接解码执行,不留进程信息

不过解出来没啥用,就不展开讲了。

/root/.configrc7/b/run

这个脚本里,它改了我的authorized_keys文件以实现免密登录,****
在这里插入图片描述
而且使用了chattr命令,开启/关闭某目录下的操作权限
(i是禁止操作,a是只许追加)

crond

在这里插入图片描述在这里插入图片描述
然和把它添加的定时任务也删掉

最后重启,挖矿进程不再出现

小结

这个恶意程序似乎还是压缩过的elf文件
只能说写程序的人也许很高明——但用这恶意程序人的绝对是个垃圾货:

恶意脚本里居然有注释,比我同事写的代码还容易看;居然还在脚本里写死了它的矿池IP,不怕别人反击它么?

服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 2730
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6653
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
云服务器CPU和内存直接被zzh恶意挖矿程序打满,如何解决?
lin1151211427的博客
06-08 699
最近在服务器上面部署网站,刚开始使用还是没问题的,当时一段时间之后发现CPU和内存总是被打满,本地没有跑大的应用,主要有mysql、nginx、redis,一度还以为是nginx 的问题,但是后来排除了。在网上查阅资料之后,发现服务器是被恶意攻击了。在redis.conf中将bind 后面的地址换成需要访问这台数据库的IP地址在,另外给redis设置密码,最后的话修改redis的运行章,以低一点的权限来运行redis服务,禁用这个账号的登录权限。kill进程之后CPU占用率下降到正常水平。
服务器挖矿了呢
weixin_42418774的博客
06-15 2643
我今天突然收到了阿里云的短信,说我服务器被攻击了。。。。。。 好了,我没理它,结果一直提醒我说被攻击了,所以只好去look一下了。 首先打开服务器: 通过top查看服务器资源,cpu资源几乎被占尽(cpu很高的那个就是病毒进程) top 然后就根据cpu最高的那个名称进行查找进程的目录: ps -ef |grep 进程名字 进入到目录下面,就可以查看病毒文件,删除病毒文件: ...
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
m0_64422133的博客
10-01 1861
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
关于云服务器挖矿病毒入侵这件事的经过
Innocence_0的博客
01-31 460
关于云服务器挖矿病毒入侵这件事的经过
阿里云服务器挖矿异常处理
山路曲折盘旋,但毕竟朝着顶峰延伸
10-19 1416
挖矿行为需要强大的算力支持,所以其一定会占用大量的cpu 资源,所以我们以此关键点展开,检查使用cpu资源较高的进程。云服务器中被恶意安装了脚本,然后脚本运行占用了大量的cpu 和内存,触发了云服务器监控的告警;点击详情可以看到路径: /tmp/networkSync。重新用top命令,查看cpu占用情况。kill -9 进程。
如何应对阿里云服务器被暴力破解的攻击
cooldream2009的博客
10-07 2928
随着云计算技术的快速发展,越来越多的企业和个人用户选择将业务部署云服务器上,然而,云服务器的安全性问题却时刻威胁着用户的数据和业务安全,尤其是暴力破解攻击。这类攻击通过不断尝试各种密码组合,最终获取服务器的控制权限。如果服务器的密码设置不当,攻击者很可能在短时间内入侵服务器,进而造成业务中断、数据泄露等严重后果。本文将详细介绍我在阿里云服务器上遭遇暴力破解攻击的经历,包括问题的发现、应对措施和最终的解决方案,并提供一些防范此类攻击的建议,帮助用户提升云服务器的安全性。
Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114
最新发布
Narutolxy的博客
01-14 990
详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案,助力运维人员提升应急处置能力。
记一次服务器中了挖矿病毒的检测及删除方法
zhimeng1的博客
09-20 415
2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。5、突然想到公司做过等保测评,还有日志审计服务器,查询到下图,是通过跳板机,试错密码登录到内网,然后进行部署内部服务器的,这台服务器也是唯一一个不曾180天定时修改密码的服务器。确保您的服务器始终保持最新的安全补丁和软件版本,并定期进行安全审计和扫描,以确保您的服务器始终保持安全。中间docker修复,又挂掉,iptables又莫名被删除,一天来来回回的折腾七八次。
一次挖矿木马分析
Zero_Moment的博客
11-22 1775
公司测试服务器远程卡顿,VSS无法打开,360杀毒软件失灵,MSSQL无法连接,密码被修改过,重启后无任何显著可用的效果,于是乎查系统进程、系统日志、计划任务等,发现计划任务中出现了一些可疑的任务,任务操作是指向一些bat或者exe,MSSQL代理作业中也出现了十多个可疑的作业,通过分析后发现是中了挖矿木马。通过分析发现该恶意程序做了底下这些操作: ::删除用户,这可能是感染时候建的用户,也可能是...
阿里云服务器被[crypto]攻击导致CPU爆满(已解决)
大鹏
07-14 1840
缘由 之前玩Docker并开放了2375端口和redis 弱密码 且默认6379端口 的时候,安装时未使用密码,然后还在阿里云开放了0.0.0.0的6379端口,导致出现了漏洞, 现象 被安装了Docker镜像且启用了容器运行。 Reids多了几条任务计划的缓存数据 /usr/share 目录下多了 5个文件 -rwxr-xr-x 1 root root 4563624 Jul 1 17:46 '[crypto]' -rw-r--r-- 1 root root 4384...
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5436
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2397
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
云主机遭遇挖矿病毒处理方法
qq_35573061的博客
05-06 1638
云主机遭遇挖矿病毒处置方法
今天,你的服务器被“挖矿”了吗?
weixin_34010566的博客
06-10 564
本文作者:晨光 运维工程师 web服务应用是最为常见的应用之一,主要是通过对公网放行服务器的端口供客户访问来提供服务。这类服务对数据安全、访问控制的要求会比较高。但最为核心的还是后端服务器主机层,当后端主机不能正常工作时,前端展示的web服务一定是收到牵连的,如何维护后端服务器正常运行就显得尤为重要了。 这里提到后端主机的正常运行,就不得不提“***”这个词了,让互联网小白一筹莫展的无形杀手。他...
服务器无故nginx异常关闭之kauditd0 kswapd0挖矿病毒 CPU占用200% 内存耗尽
weixin_54284859的博客
11-13 2201
nginx 每隔一段时间就会被关闭掉, 查看nginx日志 没有任何错误信息或异常信息。查看服务器CPU占用情况 ,kauditd0 kswapd0挖矿病毒 CPU占用200% 内存耗尽
Linux挖矿病毒(kswapd0进程使cpu爆满)
m0_52985087的博客
11-07 6878
事情起因:有台测试服务器很久没用了,突然监控到CPU飙到了95以上,并且阿里云服务器厂商还发送了通知消息,【阿里云】尊敬的xxh: 经检测您的阿里云服务(ECS实例)i-xxx存在挖矿活动。因此很明确服务器挖矿病毒。
我的服务器挖矿了,原因居然是...
qq_44005305的博客
06-24 1353
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值