• 生活的道路一旦选定,就要勇敢地走到底,决不回头。——左拉
  • 坚强的信心,能使平凡的人做出惊人的事业。——马尔顿
  • 人不可有傲气,但不可无傲骨。 --徐悲鸿
  • 古之立大志者,不惟有超世之才,亦必有坚韧不拔之志。 --苏轼
  • 时间像海绵里的水,只要你愿意挤,总还是有的。 --鲁迅

服务器被植入挖矿病毒解决办法

工作随笔 zkinogg 2年前 (2020-11-11) 245次浏览 0个评论

转自https://www.cnblogs.com/uglyliu/p/6442427.html

上午重启服务的时候,发现程序启动死慢,用top命令查看了一下,cpu被占用接近100%,所以无法运行新程序,通过top命令然后输入P,就能看到有两个程序几乎占用了所有的CPU,占用率为700%左右,程序名称为:minerd和AnXqV两个,通过搜索知道是挖矿程序,通过kill命令及pkill命令是无法直接解决的,找到了一个教程,http://www.cnblogs.com/zhouto/p/5680594.html,参考的这个进行的处理,基本上搞定了,不过里面有很多细节的地方这里记录下来。

1、关闭访问挖矿服务器的访问:

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP 和 iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2、找到minerd程序:

find / -name minerd*

发现程序在/opt下面,同时发现另外的一个异常文件

KHK75NEOiq33和minerd

3、去掉执行权限

chmod -x KHK75NEOiq33 minerd

4、杀掉进程,kill或pkill随你喜欢

pkill minerd

pkill AnXqV

5、清除定时任务:

systemctl stop crond

我们的系统因为没有其他定时任务,所以可以直接这样,如果有需要自己手动备份自己的定时任务,然后清理掉其他的定时任务,情景分析后处理

6、清除文件

除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除,Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)> AnXqV ddg.217 ddg.218 ddg.219 duckduckgo.12.log duckduckgo.17.log duckduckgo.18.logduckduckgo.19.log

这里的文件有个duckduckgo的,大约是翻墙用的搜索对应的进程有ddg.217/218/219

7、清除未知的授权

进入 ~/.ssh/目录,发现多个异常文件,包括authorized_keys、known_hosts等,需要移除authorized_keys中的未知授权,这里可以看到有REDIS000…的授权key,我们自己没有设置过,所以直接删除之

8、元凶分析

有说是redis低版本存在的一个漏洞,有人利用这个漏洞提升权限,然后放置了挖矿工具,所以就将默认的端口改了,密码改了,重新启动了服务,基本上能过一段时间了


极客公园 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:服务器被植入挖矿病毒解决办法
喜欢 (0)
[17551054905]
分享 (0)

您必须 登录 才能发表评论!