服务器又被挖矿记录

最新推荐文章于 2024-11-11 21:01:06 发布
原创 最新推荐文章于 2024-11-11 21:01:06 发布 · 4.1k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

写在前面

23年11月的时候我写过一篇记录服务器被挖矿的情况,点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。
而过了几个月没想到又被攻击,这次比上次攻击手段要更高明点,在这记录下吧。

发现过程

服务器用的是4090,i9-13900K,就我一个人在用,我也不跑什么大规模程序,按理说平常风扇基本不会一直响。今天来到实验室后发现风扇在狂转,过了一二十分钟后还是这样,我就意识到可能出了问题。
首先我看了眼桌面上占用资源较多的几个进程,没发现异常
在这里插入图片描述
而在上篇记录中,bash进程都超过了90多,只从这里看不出什么问题。
然后我又打开了资源管理器进一步查看
在这里插入图片描述
资源占用都不是很高,到这里还是看不出问题

我又回想起之前我同学又要用这个服务器跑程序(没错,又是他o(╥﹏╥)o),当时我就给了他一个公共用户,为了防止像上次一样被挖矿,我还特意改了下那个用户的密码。
但是由于他不在校园网范围内,所以走的是一个公网ip登的服务器,做了个端口映射。
我给他的用户是lab,由于他可能也要装软件,所以也给了sudo权限。
于是我查了下lab用户的进程
请添加图片描述
注意上面有几个可疑的地方

最低0.47元/天 解锁文章

200万优质内容无限畅学
挖矿木马攻破了服务器
中年程序员一枚的博客
08-09 1645
systemctl status 6058 # 6058为病毒的PID。然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!过一分钟后,服务又开始狂刷cpu。最近被国外的挖矿木马攻破了服务器。#top 看看什么占用cpu高。第四步根据pid查到服务地址。#last指令查看登录ip。第三步杀死狂刷CPU的服务。
java 挖矿代码,挖矿运行脚本注解(示例代码)
weixin_33413018的博客
03-20 1903
#!/bin/bash#杀掉旧 trace 挖苦程序if pgrep trace; then pkill trace; fi# CPU 数: 8threadCount=$(lscpu | grep ‘CPU(s)‘ | grep -v ‘,‘ | awk ‘{print $2}‘ | head -n 1);#主机名 md5 校验码: b8419160hostHash=$(hostname -f |...
服务器被种植挖矿程序,恶意访问ip等等。
Prodigal
07-01 1271
阿里云服务器安全中心的警告。 根据信息, 删除一些文件后。发现过一段时间又出现了。 top查看可以看到又两个程序占用资源很高。 一个是sysupdate,一个是networkservice. 这两个都在etc下。 下面图中的ip就是下载源。 在etc/update.sh中也有相同的地址。 解决方式 在/etc/下找到下面的文件,rm -rf 删除下面的文件。 如果出现提示无法删除。则使用chattr -i 文件名取消限制,然后再删除。 在/usr/bin/下找到以下文件,然后删除下面的文件。
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 2775
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
Java/JDK下载安装与环境配置(Windows 10 超详细的图文版教程 )
热门推荐
奔三的Uncle
07-05 43万+
前言:对于很多初学者来说,我想可能很多人都会遇到的一个问题就是Java环境变量的配置问题。自己明明就是按照度娘上的教程去一步步配置的,但还是会有很多的人出现配置不成功的问题。所以今天在这里分享一下windows 10 系统下安装Java的教程,希望对Java初学者能有所帮助。 一. Java的下载与安装 作为初学者,要想学习Java语言,第一个条件就是要让电脑上具备有Java环境,那么怎么让电...
服务器挖矿了怎么办?别急看这里@~…~@
童龙辉的博客
10-08 2977
服务器挖矿攻击通常是由于系统或应用程序的漏洞被黑客利用,导致恶意软件在服务器上运行,消耗大量资源进行加密货币挖矿。列举:从图中可以看到,你的系统检测到了一次“挖矿”行为,并标记为高危威胁。攻击者的IP是,并且目标是。根据描述,攻击类型是通过客户端登录矿池进行的,矿池登录是挖矿行为的一种典型表现。下面将给出一般的处理方法希望能帮到大家。
linux服务器cpu被bash、java服务占满,疑似挖矿脚本
最新发布
chywzh的博客
11-11 712
疑似挖矿脚本植入服务器
怎么检查ubuntu22.04服务器机器被挖矿
keyboard专栏
04-28 2484
如果怀疑你的 Ubuntu 22.04 系统被挖矿程序占用,可以通过一系列检查步骤来确认这一疑问。
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2627
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
记录服务器挖矿处理总结
LiXiaoJin's Blog
01-19 752
偶然发现CPU一直占用100%,开始还不太在意,后来想想我的程序也没这么多啊 导致机器登录ssh的时候都有点卡了。 开始检查机器,发现原来是被入侵了,有个木马一直占用 这才知道是被别人用来挖矿了,真是无语了 搞了好久没搞定,哎,能力有限,一生气直接重装系统了 以后安全防范一定要做到位。 希望不要再被入侵了,烦死了 这次算是体会到主机安全的重要性了,公司最近也在说这个问题,看来还是要多多重视。 总结一下: 我之前密码设置得太简单了,导致直接被暴力破解 安全防护做得不够,防火墙也没有打开 22端口
高效秒解 服务器被注入挖矿代码
05-28 1191
秒解 服务器被注入 挖矿程序
挖矿病毒处理记录
Z.Virgil的博客
08-15 1万+
wnTKYg进程发现 执行top 会发现此进程。 wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]# cat auth...
一次挖矿入侵处理记录(2021.01.27)
卡西莫多的博客
01-28 3816
https://github.com/bg6cq/ITTS/blob/master/security/mine/README.md 转自上面链接,也是我的亲身经历,供大家学习。网络安全大家引以为戒。爱闹的小兄弟们,别闹了啊,让张老师花了好几天的心思在你们弄得事情上。 [原创]一次挖矿入侵处理记录(2021.01.27) 本文原创:中国科学技术大学 张焕杰 修改时间:2021.01.27 一、突发的大量SSH扫描 2021.01.25 22:40,接到用户报告发现有来自校内7个IP的大量SS.
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5811
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
服务器被黑客攻击,用来挖矿,怎么办?
m0_63171455的博客
02-23 2975
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖...
如何解决服务器挖矿木马
网站安全专家
01-26 1661
如何有效应对这种安全危害,在此过程中促进公司网络安全能力的提高,必须变成企业安全管理者和网络安全厂商的共同目标,快过年了,被挖矿木马植入的服务器越来越多,导致很多网站或APP无法正常运行,如果想要彻底解决的话建议到服务器安全公司来处理解决。检测/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中是不是有恶意的脚本下载命令,是不是有挖掘木马的命令,删除发现挖矿进程、恶意程序时,立即检查和修复网站服务器存在的系统漏洞、弱密码、网络应用漏洞。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 4010
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
服务器挖矿后如何排查处理
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
记录一次阿里云服务器挖矿程序攻击及处理
Crayon
11-26 1429
top命令发现该挖矿程序占用了200%CPU kill掉程序发现第二天仍然会生成该程序,crontab -l 发现存在该定时任务 crontab -e 命令编辑定时任务,删除该定时任务
【转】服务器挖矿病毒的排查过程
05-25
通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值