挖礦程式minerd,wntkyg入侵分析和解決
一.起因:最近登陸一台redis伺服器 發現登陸的時間非常長,而且各種命令敲大顯示出的內容延遲很高
二,分析:
首先我安裝了iftop監控
em1這個網絡卡流量
iftop -i em1
發現裡面的流量使用很低,沒多少服務使用大的流量,沒占用頻寬,排除了ddos大流量攻擊可能
接著我輸入命令top 檢視各種負載,一看嚇一跳,
cpu平均負載達到
70左右,使用率達到
99.9%
,怪不得這麼卡,而且那個發現了有倆個檔案占用的
cpu分別達到792.5%,787.4%,778.6%
我檢查了一下服務記錄表,發現這台機沒有這個這倆個檔案,而且cpu占用,懷疑被黑了,然後我把那倆個檔案搜尋一下,發現這居然是挖礦的木馬程式
解決:我先用命令
過濾倆個檔案程序,發現木馬程式執行的路徑,以及入侵時間,以及啟動木馬程式**命令,minerd在
opt目錄下,
wntkyg
和ddg.2011
的程式在
/tmp
下解決方法:
1.先停掉挖礦程式程序
2. 關閉訪問挖礦伺服器的訪問
,防火牆新增策略
iptables -a input -s xmr.
prohash.net
-j drop
iptables -a output -d xmr.
prohash.net
-j drop
3.chmod -x minerd
或者chmod 000 minerd /chmod 000 wntkyg/chmod 000 ddg.2011
取消掉執行許可權或者所有許可權
4.在沒有找到根源前,千萬不要刪除 minerd wntkyg ddg.2011,因為刪除了,過一回會自動有生成乙個。
5. pkill minerd
pkill wntkyg pkill ddg.2011或者
kill -9
程序號
殺掉程序6.
檢視一下定時任務,看看有沒有可疑的定時任務在執行
service stop crond 或者
crontab -r
刪除所有的執行計畫
7. 最後
執行top,檢視了一會,沒有再發現
minerd
wntkyg ddg.2011
程序了,伺服器的
cpu負載也慢慢下降,為了徹底**病毒,服務配置進行遷移,系統進行重新安裝。
分析:解決minerd
等木馬並不是最終的目的,主要是要查詢問題根源,我的伺服器問題出在了redis服務了,黑客利用了
redis
的乙個漏洞獲得了伺服器的訪問許可權,然後就注入了病毒
下面是解決辦法和清除工作
1. 修復
redis
的後門,
1. 配置bind選項
, 限定可以連線
redis
伺服器的
ip,
並修改redis
的預設埠
6379.
2. 配置auth, 設定密碼
, 密碼會以明文方式儲存在
redis
配置檔案中
.3.
配置rename-command config 「rename_config」, 這樣即使存在未授權訪問
, 也能夠給攻擊者使用
config
指令加大難度
4. 好訊息是redis作者表示將會開發
」real user」
,區分普通使用者和
admin
許可權,普通使用者將會被禁止執行某些命令,如
conf
2. 開啟
~/.ssh/authorized_keys,
刪除你不認識的賬號
3. 檢視你的使用者列表,是不是有你不認識的使用者新增進來。 如果有就刪除掉
· 查了些資料看有人說這是在挖幣,wntkyg是門羅幣,所以大家要注意伺服器的安全,別讓自己的資源讓別人用來掙錢。
linux系統遇到挖礦程式
作為乙個小白,在阿里買個乙個伺服器用來學習使用,前不久剛安裝了redis,猶豫沒有及時配置,導致伺服器被惡意攻擊了 阿里推給我好幾條訊息,一開始我還沒在意,但到真的登入伺服器敲命令的時候才發現,很卡!查了一下cpu占有率,發現原來是這個程序的問題,kill把這個程序殺掉,完結!結果沒過多久,整個系統...
伺服器挖礦程式記錄
伺服器外網開了docker的遠端2375埠 結果第二天發現莫名多了個ubuntu和centos的容器 同時收到阿里雲伺服器挖礦警告,管理端一看這段時間cpu使用率一直在穩定在50 測試機cpu使用率明顯異常 解決步驟 刪除挖礦容器 通過top檢視 發現乙個名為sshd n的程序資源占用過高 檢視ss...
如何檢查並清除挖礦程式
1.檢查cpu使用率 根據cpu使用率曲線確定2.11日可能被注入挖礦程式,根據top確定挖礦程式程序kdevtmpfsi 2.確定挖礦程序源程式位置 find name kdevtmpfsi ll 檢視安裝時間,對比cpu突然拔公升時間 3.檢查psadm2使用者的合法性 4.檢查root或者ps...