关于服务被挖矿程序minerd入侵解决方法
来源:互联网 发布:网络销售做外汇是什么 编辑:程序博客网 时间:2024/05/17 23:02
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu
在opt目录下发现有个异常文件,是个命令文件minerd
在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件
本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同事一查确实定时器存在一条:,果断删除处理。再杀进程,再删文件;然并卵,依旧起来;
百度资料说该根源可能是通过jenkins开放外网被黑客入侵导致,接着就把jenkins服务停止,把外网端口关闭,顺道把服务器的所有用户密码及ssh改了一遍,再把minerd进程杀掉,删文件,但是还是不行。
http://www.myhack58.com/Article/48/66/2014/56680.htm
继续百度各种资料,检查是否存在其它定时器,在/var/spool/cron/目录下发现有个root用户的定时器文件,以为找到根源了,再次果断删除,结果,还是没有解决;
后面同事在google搜索到了一个资料,
http://security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance
各种文件删除都不起作用,原来该木马程序注册了一个“lady”的服务,而且还是开机启动,起一个这个可爱的名字,谁TMD知道这是一个木马。
把lady服务停止,删除开机启动,删除文件,恢复正常!
---2017 02 21 补充
很有网友也遇到跟我同样的问题,但是木马程序确实有点嚣张,通过利用redis的免帐号密码漏洞进行入侵
http://blog.jobbole.com/94518/
1. 修复 redis 的后门缺陷
- 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379
- 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
- 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
- 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的密钥
3. 删除用户列表中陌生的帐号
参考文献:
redis未授权访问漏洞:http://blog.csdn.net/hu_wen/article/details/55189777
- 关于服务被挖矿程序minerd入侵解决方法
- 服务器被入侵(minerd挖矿程序)
- 挖矿程序minerd入侵分析和解决办法
- 挖矿程序minerd入侵分析和解决办法
- 挖矿程序minerd入侵分析和解决办法
- 挖矿程序minerd入侵分析和解决办法
- 挖矿程序minerd入侵分析和解决办法
- 阿里云服务器被挖矿minerd入侵的解决办法
- 阿里云服务器被挖矿minerd入侵的解决办法
- k8s被minerd入侵处理
- CentOS 服务器因 Redis 遭遇挖矿程序 minerd 入侵事件记录
- 阿里云服务器被挖矿minerd入侵的解决办法,导致tomcat启动很慢
- 服务器被挖矿minerd
- 服务器被挖矿minerd
- minerd
- 阿里云CentOS被minerd入侵,CPU使用率高达100%
- 关于“socket:<10106> 无法加载或初始化请求的服务提供程序”问题的解决方法
- 关于编写win32服务程序,
- Android基础--------广播
- Linux启动提示Kernel panic - not syncing: Attempted to kill init解决办法
- Mybatis-generator工具的使用
- SQL不同服务器数据库之间的数据操作整理(完整版)
- Spring Boot教程 - 2. Spring Boot提供的特性
- 关于服务被挖矿程序minerd入侵解决方法
- Adroid中Toast自定义显示时间
- mysql sql语句执行顺序
- 关于最小二乘法
- Android TXT文件读写
- jquery如何获取某一个兄弟节点
- Android 获取控件相对于屏幕位置
- ucosii实时操作系统的任务调度
- centos下lnmp的安装