盘阿里云ECS内挖矿程序

article/2025/10/23 13:05:11

1.二话不说先上图,cpu一路飙升在100%

2.进入服务器top命令查看占用cpu的异常进程

3.找到目标PID  kill -9 10478 干掉这个进程,没几秒这个Macron的进程又死灰复燃

4.定位Macron目录

  ls -l /proc/$PID/exe  定位到发现目标文件为/tmp/Macron,打开此文件发现都是二进制的,啥也看不懂

5.火速干掉此文件   rm -rf /tmp/Macron ,干掉后再top,发现又死灰复燃,奶奶个腿的

 。。。。怀疑此文件被另一个文件定时执行并远程下载病毒文件

6.排查定时任务发现没有可以定时任务

/etc/crontab、/etc/cron.d和/var/spool/cron

7.进入.ssh  rm -rf  authorized_keys ,若删除不掉chattr -i authorized_keys 后再删除

8.通过上面操作后再试还不行  pstree一下

查找病毒源文件,果然除了tmp还有其他两个文件.sig的后缀

find / -name '*Macron*'

删除上面的三个文件

然后过了10分钟(这次死灰复燃的时间有点长)Macron进程又起来了,那说明上面删除的文件是生成的文件,不是源文件

继续追踪

root用户下 输入 crontab -l 显示 

[root@localhost ~]# crontab -l
no crontab for root

这个问题非常简单,同样在 root 用户下输入 crontab -e 

按 Esc 按: wq   回车  再输入 crontab -l 就没有问题了,查看到并没有执行计

9.我被攻破的是root用户所以还得需要一部操作,修改root密码

病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。

重启电脑后发现正常了

ps.发现这种病毒是在/etc/init.d/目录下面放有一个启动文件:nfstruncate 。一方万一查找下该文件也全部删除除;

find /  -name  'nfstruncate'

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

* 如果以上方法试了还不行,尝试如下

是否存在:/root/.systemd-service.sh 有删掉

是否 有类似这样的/tmp/.X11-unix/ 有删掉
是否/etc/cron.d/ 里删掉systemd-service.sh

是否存在 /opt/systemd-service.sh 删掉

.ssh/known_hosts和authorized_keys里删掉

service crond stop(如果没有定时任务可以停止)

 

10.总结

此次被攻击初步怀疑是另一个小伙伴,redis没有这事登陆密码(此操作是万万不安全的), 因为redis的不设置密码有个漏洞,基本通过猜测端口就可以直接连上redis的,黑客利用了redis的一个漏洞获得了服务器的访问权限,所以redis的密码是必须要设置的,最好端口也不要用默认的6379的,血的教训


http://chatgpt.dhexx.cn/article/8Av1loOw.shtml

相关文章

记录_第一次解决挖矿程序入侵问题

记录第一次处理,服务器也被挖矿程序入侵,原本是不想处理的,但是阿里云一直给我警告,然后再不处理服务器给我停了,这导致我立马打开电脑进行处理,怎么处理的我也不会啊,就一直百度,还…

centos8 处理挖矿程序攻击

ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 c…

案例分享—服务器被植入挖矿程序排查

主机的操作系统是CentOS7,应用架构是JavaMySQLRedis。客户描述问题是有一个从下午2点到凌晨的秒杀活动。秒杀系统开始的时候是可以正常运行的,但是到了晚上7点就突然无法使用了,前台提交秒杀请求后,后端无响应,最终超时…

解决阿里云服务器提示挖矿程序风险

最近阿里云天天提示我挖矿,可是我是良民啊,还要封我号,把我吓够呛啊。 后台通过CPU 被挖矿,Redis 竟是内鬼!_CSDN云计算-CSDN博客 这篇文章有所启发,大家可以看下 目前没提示,后期再提示再更新…

记录解决阿里云ES服务器提示挖矿程序

前言 突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前记得备份下 处理过程 1、检查服务器负载与CPU利用率&#xff0c…

服务器提示有挖矿程序,是怎么回事

在提示我有挖矿程序后,我去阿里云的安全中心,看到有三个病毒进程警告,但是都结束进程失败,然后我询问售后工程师,售后工程师给我的回复时格式化云盘。因为没有找到更好的解决方式,就选择了重新安装系统和格…

【解决阿里云服务器提示挖矿程序风险2022】

解决阿里云服务器提示挖矿程序风险2022-10 搜索删除含system-private相关的所有文件 如图:system-private....2.清除定时任务 3.修改文件可执行权限 4.清除路由表中隐患IP 5.在不使用云服务器的情况下可以关闭ssh端口 参考资料: 解决阿里云服务器提示挖…

[linux] 挖矿程序的停止与清除

问题描述 实验室的linux服务器有一位用户的密码比较弱,被试出来了,然后攻击者在我们的服务器上运行了挖矿程序 gpustat查询后发现:四张显卡都被占满,GPU显存占用不大,但使用率为100% 此时如果直接kill那个占用显卡的…

Ubuntu服务器清除挖矿程序

言简意赅,直入主题 早晨ssh登录服务器的时候发现出现情况 screen创建的会话本来还在跑代码的,重新进入一看被terminal了 一脸懵逼地输入nvidia-smi 我了个擦!两张显卡占用一样,而且每秒都是100%,并且都只有一个程序在…

liunx挖矿程序排查思路

最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下: 安全告警邮件 查看异常情况 输入top,输入shift P会按照cpu的使用率大小从大到小进行排序,发现有异常进程7140与7129 [rootwww-site-ec-6 ]# ps -ef…

阿里云服务器中了挖矿程序应该如何清除

阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程…

阿里云服务器被挖矿程序侵入问题

一、起因 公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内)。一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程序,部…

移除挖矿程序过程记录

前言: 早上发现一个服务器的挖矿程序预警消息: 那么接下来开始处理这个问题, 废话不说直接上有效的操作了; 1、查看系统定时任务及修改: 查看系统定时任务:方式一:crontab -lcrontab -e&…

如何检查并清除挖矿程序

1.检查cpu使用率 根据cpu使用率曲线确定2.11日可能被注入挖矿程序,根据top确定挖矿程序进程kdevtmpfsi 2.确定挖矿进程源程序位置 find / -name kdevtmpfsi ll 查看安装时间,对比cpu突然拔升时间 3.检查psadm2用户的合法性 4.检查root或者psadm2用…

挖矿程序的处理方式及步骤

概述 随着币圈市场交易的活跃,币价也被日益推高。 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系。 “重赏之下,必有勇夫”,在互联网圈里也同样适用啊。 所以服务器被植入挖矿程序已经不是很稀奇的事情了,很多服务器因为漏洞、弱密码、…

【树莓派】树莓派系统安装

上一个项目被网络的问题搞得头痛,使用了STM32F407往服务器上扔数据,结果发现一直没有办法连接上服务器,一直在发送arp查找MAC地址,最后使用了树莓派搭建了一个局域网络,先连接树莓派然后进行转发,才连接上服…

树莓派安装Windows for ARM

树莓派安装Windows for ARM 准备1.树莓派2/3/4/400(RAM>2GB)2.WoR 获取Windows for ARM镜像安装启动 准备 1.树莓派2/3/4/400(RAM>2GB) 2.WoR WoR(Windows on ARM)是一款简化树莓派安装Windows的软件。它有一个十分友善操作页面,对于懒癌晚期的患者是一个福…

树莓派安装Docker方法

再次提醒,如果是raspberry系统已经集成安装,就不需要再次安装了。 docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化&…

树莓派之树莓派系统安装

树莓派系统安装 概述 树莓派(是为学习计算机编程教育而设计),只有信用卡大小的微型电脑,其系统基于Linux。随着Windows 10 IoT的发布,我们也将可以用上运行Windows的树莓派。2014年刚知道有树莓派的时候好奇买了一块,型号&#x…

树莓派——安装OpenCV

我的开题需要使用树莓派录制视频,并对视频处理传送回后端服务器,因此需要安装OpenCV。 安装OpenCV参考了好多文章,但都不成功,只有这篇博主的我照着做才成功:超简单教你在树莓派上安装opencv(一) 一、树莓派系统安装 …