阿里雲伺服器被挖礦問題
下午發現伺服器CPU:
12618 root 20 0 680m 17m 1280 S 699.9 0.1 72:13.24 wnTKYg
網上收索解決辦法copy如下:
下面就講解wnTKYg如何清除。最近專案在做效能測試,發現CPU使用率異常,無人訪問時CPU也一直保持75%,然後在xShell上top了一下,發現wnTKYg這個程式CPU佔用率300%
直覺告訴我,一定是木馬,下意識的把它kill了,但是一分鐘之後又自動重啟了,於是百度了一下,發現這個東西叫做挖礦工,簡單的說,就是別人用你的伺服器去做它自己的事,然後賺錢。
知道wnTKYg是什麼鬼之後,我不急著殺死它,而是特別好奇它來自何方,怎麼進來的,百度上關於它的帖子特別少(這也是我決定寫這篇帖子的主要原因),說是鑽了redis的空子進來的,我基本上贊同這個說法,第一步iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然後刪除yam 檔案 用find / -name yam查詢yam 檔案 之後 找到wnTKYg 所在目錄 取消掉其許可權 並刪除 然後再取消掉 tmp 的許可權並刪除 之後 pkill wnTKYg就OK了。
當然,我也諮詢了阿里的解決方案,有兩個,①找第三方安全公司殺②把資料備份一下,重置系統 ======================================================================================
解決minerd並不是最終的目的,主要是要查詢問題根源,我的伺服器問題出在了redis服務了,黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權,http://blog.jobbole.com/94518/然後就注入了病毒,下面是解決辦法和清除工作:
1. 修復 redis 的後門,
- 配置bind選項, 限定可以連線Redis伺服器的IP, 並修改redis的預設埠6379.
- 配置AUTH, 設定密碼, 密碼會以明文方式儲存在redis配置檔案中.
- 配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
- 好訊息是Redis作者表示將會開發”real user”,區分普通使用者和admin許可權,普通使用者將會被禁止執行某些命令,如conf
2. 開啟 ~/.ssh/authorized_keys, 刪除你不認識的賬號
3. 檢視你的使用者列表,是不是有你不認識的使用者新增進來。 如果有就刪除掉.
相關推薦
阿里雲伺服器被挖礦問題
下午發現伺服器CPU: 12618 root 20 0 680m 17m 1280 S 699.9 0.1 72:13.24 wnTKYg 網上收索解決辦法copy如下: 下面就講解wnTKYg如何清除。最近專案在做效能測試,發現CPU使用率
阿里雲伺服器被挖礦程式minerd入侵的終極解決辦法
歡迎掃碼加入Java高知群交流 突然發現阿里雲伺服器CPU很高,幾乎達到100%,執行 top c 一看,嚇一跳,結果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm
解決阿里雲伺服器提示挖礦程式風險
今天大早上收到阿里雲郵件通知,提示有挖礦程式。一個激靈爬起來,折騰了一早上,終於解決問題了。 其實前兩天就一直收到阿里雲的通知,檢測到對外攻擊,阻斷了對其他伺服器6379、 6380和22埠的訪問,當時沒怎麼當一回兒事,反正是我用來自己學習用的,就放著不管了,結果今天事態就大了。
雲主機被挖礦的應急腳本
res eth done kill -9 capture ogre The true ogr 當雲主機被挖礦之後,一般都不能很快清除挖礦程序,而這時你的雲主機cpu占用率會一直居高不下,為避免主機被鎖定可先用這個腳本殺死挖礦程序,然後再來慢慢排查問題。 腳本內容:
伺服器被挖礦入侵,程序 command為ld-linux-x86-64佔用cpu很高
測試伺服器看到 ld-linux-x86-64的程序佔用cpu極高,user 是 mysql 的。 測試環境不會有這麼高的mysql負載,並且記憶體佔用基本為0。區塊鏈技術盛行,讓人不得不懷疑被抓去做礦機了。 初步排查 [[email protected]
伺服器被挖礦解決辦法
公司用的阿里雲的機器,有一天要下班了,公司的雲監控報警說伺服器100%,我就top了一下,發現/tmp/ddgs.3013和/tmp/qW3xT.2兩個檔案把CPU跑滿了,接著百度了一下,發現是挖礦病毒。然後我就kill掉有刪除一下檔案,發現就又出現了,這時心裡有點慌慌不知,
阿里雲ECS遭挖礦程式攻擊解決方法(徹底清除挖礦程式,順便下載了挖礦程式的指令碼)
一:殺死挖礦程式程序 在伺服器上使用top指令檢視cpu的使用情況,發現有一個叫java的程式佔用cpu高達99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
Linux伺服器被挖礦程式sustse和kworkerds感染後續處理
在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個
學習hadoop遇到的問題(記一次阿里雲伺服器被惡意掛木馬,CPU100%)
在我剛開始學習時,把防火牆,安全組都開放了,過了一段時間被掛上了木馬。並且殺死程序一會還啟動 解決辦法 1通過命令netstat -antlp|grep 9002檢視埠檔案地址,刪除可以檔案(java資料夾) 2.還得在安全組中關閉hadoop一些對外開放的web頁面(可以改變埠號)
記一次伺服器被挖礦程式佔用的解決過程
公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖) 這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G記憶體的阿里雲主機)既然被**
阿里雲遇到imWBR1挖礦程式的入侵
在買了阿里雲伺服器,配置了Redis後沒幾天,阿里雲就提醒我說有疑似挖礦的程式在伺服器上,這讓運維小白的我很吃驚,而且自己也沒做過伺服器運維的事,在網上百度了很多,也翻牆google了很多後發現了一篇關於殺死挖礦程序的部落格,轉載給大家看看,http://blog.sina
伺服器被挖礦後如何處理
挖礦會使伺服器硬體資源,如:CPU、記憶體消耗極大,但是一般運維人員處理挖礦攻擊時最頭疼的就是處理不乾淨,其實挖礦攻擊能夠成功主要方式是通過伺服器安裝的第三方工具內在的對外RestAPI進行的,這些第三方工具如果API存在漏洞就會很大程度被黑客攻擊利用開放的埠進行攻擊 攻擊
阿里雲伺服器Centos7成為挖礦肉雞被挖礦imWBR1耗盡CPU
背景 檢查伺服器資源的時候發現伺服器的CPUC已經100%,而且是一直是這樣, 最近三天的CPU使用率直方圖 當前一個小時的直方圖 18:15:00筆直下降的是我在處理後CPU的使用率情況 找到它在哪裡 先看top程序使用情況
阿里雲伺服器出現了緊急安全事件:挖礦程序
原因: 使用docker時,被下載挖礦映象,隨docker服務啟動,自動執行,導致server被挖礦,所挖虛擬幣貌似為XMR(門羅幣)。 解決: kill掉程序,刪除映象。 分析過程: 檢視程序 ps -e -o ‘pid,comm,args,pcpu,rsz
Hadoop的MapReduce程序卡住job/雲伺服器被礦工挖礦
本人用百度的雲伺服器搭建叢集學習Hadoop,突然發現Java程序佔用了99%以上的CPU,自己MapReduce沒法執行,卡在job那裡,但是通過kill所有Java程序,重啟Hadoop叢集即可執行一兩次MapReduce。我一度以為是配置出了問題。困擾了我許久,冥冥之中肯定有問題在制約著。經過找大師幫忙
阿里雲提示伺服器有挖礦程式 該如何處理
臨近2018年底,我們阿里雲上的一臺ECS伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的網站,只是一個公司的展示網站,怎麼可能會出現CPU%90以上的告警,
雲伺服器Centos成為挖礦肉雞被挖礦imWBR1耗盡CPU
檢查伺服器資源的時候發現伺服器的CPUC已經100%,而且是一直是這樣, 最近三天的CPU使用率直方圖 當前一個小時的直方圖 18:15:00筆直下降的是我在處理後CPU的使用率情況 找到它在哪裡 先看top程序使用情況 # top top - 18:10
阿裏雲服務器被挖礦病毒minerd入侵的解決方法
minerd 挖礦病毒 挖礦程序 木馬 早晨上班像往常一樣對服務器進行例行巡檢,發現一臺阿裏雲服務器的CPU的資源占用很高,到底是怎麽回事呢,趕緊用top命令查看了一下,發現是一個名為minerd的進程占用了很高的CPU資源,minerd之前聽說過,是一種挖礦病毒,沒有想到我負責的服務器會中這
記錄阿里雲伺服器mysql被黑
前言 比上次伺服器被黑還要恐怖的資料庫被黑,再次強調,資料庫不備份不做安全,你就可以準備跑路了。 這次記錄一下整個被黑的過程,以及整個檢查和處理的過程。 發現 上個月某一天,網站出現了無法登入的情況,出現了大量的錯誤日誌報警,然後就牛逼了,上伺服器一查發現數據庫裡面就剩了一個名叫PLEASE_READ的
蘋果稽核IPv6被拒,阿里雲伺服器配置
蘋果上架要求:要求支援IPV6only(因為阿里雲主機沒有IPV6only)確認IPV6是否開啟:方式1:使用ifconfig檢視自己的IP地址是否含有IPv6地址。方式2.檢視服務監聽的IP中是否有IPv6格式的地址。(netstat -tuln)開啟IPV6:vim /etc/sysctl.confvim