Aliyun服務被淪為了挖礦機

2021-09-19 21:01:50 字數 755 閱讀 6893

今天,公司伺服器被發現有異常程序,總是出現程序被殺掉。後來發現有些異常程序異常活躍。想著平時對linux伺服器還算是比較了解的前提下,試試趟這趟渾水。

首先乾掉程序,發現過段時間它又會起來,這時候想到 cron 定時任務,因此去查查 /etc/cron* 下的相關配置,凸(艹皿艹 ),發現好多不認識的東西,嘗試刪除

rm -rf crontab*
結果是沒有許可權刪除, 大哥,我是 root 哦,我不能刪除我想要的檔案?為啥?

看看是不是唯讀fs,發現就這幾個檔案不是rw的,其他都可以操作。

好吧,我先看看你這定時任務是啥?

ntpd內容

我了個去,這是個有預謀的啊,裡面有個很少用的命令哦, chattr 命令,這個不是用來修改檔案屬性的麼?

lsattr  /etc/crontab
確實有變化哦,好吧,你怎麼操作的,我給你都反向來一邊即可,在backdoor裡面,發現居然有修改 .ssh 目錄,反了天咯,趕緊刪掉。哈哈

裡面出現了 stratum+tcp:// 協議字樣,好像是挖礦協議,哈哈,讓我抓著了吧,嘻嘻

後來查了查,貌似好多人遇到過哦, 原來是 redis 漏洞哦

比如:關於服務被挖礦程式minerd入侵解決方法

伺服器被入侵(minerd挖礦程式)

一 問題說明 1 我的伺服器是使用的阿里雲的centos,收到的阿里雲發來的提示郵件如下 所謂 挖礦 實質上是用計算機解決一項複雜的數學問題,來保證位元幣網路分布式記賬系統的一致性。位元幣網路會自動調整數學問題的難度,讓整個網路約每10分鐘得到乙個合格答案。隨後位元幣網路會新生成一定量的位元幣作為賞...

伺服器被植入挖礦病毒的處理

伺服器被植入挖礦病毒的處理 故障描述 一台伺服器一直在向外傳送網路包,導致該網段網路擁堵。同時我司的一台伺服器也出現了同樣的情況,不斷往外發包,導致網段擁堵 經過排查,發現該機器被植入挖礦病毒,部分偽裝成系統檔案,占用cpu及網路,病毒程序分別為 system wipefs ps cranberry...

伺服器被挖礦該怎麼處理例項

正月裡來是新年,剛開始上班我們sine安全團隊,首次挖掘發現了一種新的挖礦 感染性極強,穿透內網,自動嘗試 伺服器以及其他 通過我們一系列的追蹤,發現了 者的特徵,首先使用thinkphp遠端 執行漏洞,以及ecshop getshell漏洞,phpcms快取寫入漏洞來進行 通過 許可權來提權拿到伺...