记一次服务器被挖矿的排查过程:xmrig挖矿病毒
【阿里云】尊重的aliyun98****8825:经检测您的阿里云服务(ECS实例)i-0jl8awxohyxk****axz5存在挖矿运动。根据相干法规、政策的规定,请您于2023-07-18 00时前完成挖矿题目整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息关照。
若您有其他题目,可登岸阿里云官网在线咨询
在阿里云租了一个服务器,早上接到机器人电话说服务器被挖矿,啊啊啊烦死了,矿狗怎么还活着啊。
2023.07.11 记录。
一、发现
先搜了下网上有没有相似履历的,发现B站有个up主发了视频 记一次服务器被挖矿的履历和排查 。简单看了下他的视频,有个比力清晰的思路了。
使用命令查看当进步程
ps -a
发现有一些奇怪的历程,但又不确定是哪个。
https://img-blog.csdnimg.cn/acdfd03faa8f43e3b34f93837ada655c.png
阿里云网站上监控服务器资源显示突然被占用了很多资源。
https://img-blog.csdnimg.cn/d44143eb781e4097be0f0eaddac8025e.png
top
:查询
通过CPU使用量找一下,查询当前的历程使用资源状况。
top
top
以全屏交互式的界面显示历程排名,及时跟踪包括CPU、内存等系统资源占用环境,默认环境下每三秒革新一次,其作用基本类似于Windows系统中的使命管理器。
https://img-blog.csdnimg.cn/042e0d12d23c47d0a8c03f3f2cb61a5f.png
可以看到历程xmrig占用了大量CPU资源,百度也可以搜到xmrig是个挖矿病毒。
二、排查
百度了一下,好麻烦,安全意识不够强吧。
先查询xmrig病毒的文件所在
ls -l /proc/进程ID/exe
> lrwxrwxrwx 1 root root 0 Jul 11 13:04 /proc/3934534/exe -> /root/.cfg/xmrig
查到隐蔽的所在,cd命令进不去,找不到所在也无法删除。厥后发现是一个重定向的所在。用另一个语句查询
find / -name xmrig
> /var/lib/docker/overlay2/860d7d30e33967a65150a3f93c5994a9077e1906e0f9ccda73ee1008803b92f1/merged/root/.cfg/xmrig
> /var/lib/docker/overlay2/860d7d30e33967a65150a3f93c5994a9077e1906e0f9ccda73ee1008803b92f1/diff/root/.cfg/xmrig
https://img-blog.csdnimg.cn/52515250cd39435884402871e13af14e.png
找到两条病毒的信息,进入到文件夹下发现是开的docker容器,原来是容器内被病毒入侵了。
前两天开了一个docker容器搭建python环境,将容器ssh通过openssh映射到公网端口上了,密码设的比力简单(123456),so被攻击了。这个是将docker容器端口开放出来的博客 pycharm远程连接服务器docker容器内python环境 。
到这里实在我可以直接将docker容器删了重新启动一个就行了,看了网上的教程,练练手。
矿狗还把我服务器密码给改了(固然只是docker容器),好气!
三、扫除
仍旧查询xmrig病毒的文件所在
top
> PID USER PRNI VIRT RES SHR S%CPU%MEM TIME+ COMMAND >11347 root 20 0 2440420 2.0g 4012 S 201.014.0 2399:29 xmrig ls -l /proc/11347/exe> lrwxrwxrwx 1 root root 0 Jul 11 07:18 /proc/11347/exe -> /root/.cfg/xmrig 这次通过cd进入文件可以看到多个病毒文件
cd /root/.cfg/
ls
> bios.txtpsxmrig
其中bios.txt是三个ip(172.18.0.1-3)。
直接将整个病毒的文件夹删除
rm -rf /root/.cfg
杀死历程
kill -9 11347
至此病毒清理完毕了,服务器恢复正常。
https://img-blog.csdnimg.cn/ff9cd7cc46f747d2a6d21aae159d5247.png
这里我没遇到定时使命的题目,由于病毒一样平常来说都比力顽固,在其他题目中先容下。
四、其他题目
其他博客提到了有定时使命的题目,粘在这里参考吧。
1.定时使命crontab
通过 crontab -l 发现没有定时使命,但是会重新启动
cd /etc/ 查看crontab文件发现有隐蔽的定时使命
通过rm删除文件时 rm -rf /etc/crontab ,没有权限
chattr -ia /etc/crontab
rm -rf /etc/crontab
删除后在./etc目次下多看几个crontab文件,发现病毒备份了多个定时使命,只要不是本身的定时使命 直接删文件就好了
2.定时使命2
5.删除定时使命 rm -rf /var/spool/cron
6.删除ssh认证信息 rm -rf ./ssh/
7.原因,有可能是redis等步伐导致,
8.只管使用内网链接,不要暴露端口号或者外网所在
3.禁用root远程登录
禁用 root 远程登录的方法(用别的用户su过去):
sudo vi /etc/ssh/sshd_config
关闭 root 远程登录
Find PermitRootLogin and set to no:
PermitRootLogin no
重启 ssh 服务
sudo service ssh restart
参考内容
Linux服务器扫除xmrig挖矿病毒详细教程
Linux服务器xmrig病毒处置惩罚
无意间发现我的一台云服用器中了矿机xmrig的毒,哎!!
Xmrig挖矿木马排查过程,xmrig占用大量CPU
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]