今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学. 问题原因 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 登陆问题主机10.92.0.X,通过执行top命令查看资源使用情况如下 cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还…

发现服务器CPU占用100%,通过top命令发现pubg -c config.json -t 2占用CPU资源,kill进程会自动启动.黑客入侵方式是kubernetes创建pod. Name: kube-api-zbplw Namespace: default Node: 120.79.2.25/120.79.2.25 Start Time: Tue, Dec :: + Labels: <none> Status: Succeeded IP: 172.17.36.4 Controllers:…

当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 一.入侵排查思路 本次linux系统版本为:centos6.5 1.账号安全 用户信息文件 cat /etc//passwd ,如果里面内容比较多使用more  /etc…

Linux kernel 3.2以上,root用户可以设置内核,让普通用户看不到其它用户的进程.适用于有多个用户使用的系统.该功能由内核提供,因此本教程适用于Debian/Ubuntu/RHEL/CentOS等. 原理 Linux中,可以通过/proc文件系统访问到许多内核的内部信息./proc文件系统最初的设计也是用于方便地访问进程相关的信息,因此命名为proc.现在这个文件系统已用于反映系统中方方面面的信息,例如/proc/modules是模块的列表,/proc/meminfo则是内存使用的…

常情况下脚本执行时间几秒完成,如果超过很长时间执行完成,可能是进程等待某些资源引起阻塞(假死状态). 场景:xx.perl读取文件并发送邮件 现象:执行脚本的进程僵死(卡住) 排查:ps -ef |grep “perl xx.perl” 跟踪:strace -p 16634  (跟踪进程执行时的系统调用和所接收的信号(即它跟踪到一个进程产生的系统调用,包括参数.返回值.执行消耗的时间),卡在read(3,位置 查看进程文件描述符目录:查看3进行的是socket操作,也就是卡在通信. 使用nets…

  昨天为了协助客户测试业务,帮客户开通了一台云主机,因为是测试环境所以密码设置的很简单:1qaz@WSX,今天登陆的是否发现密码认证不通过了,确定机器是被黑掉了,估计多半是被国外小哥入侵挖矿了,记录下排查过程. 云控制台修改云主机密码   因为密码认证不通过无法登入系统,所以首先第一步是需要强制修改密码,目前大多数云厂商都支持控制台修改密码,所以这一步就不需要详细描述了. 查看云主机运行情况   可以看到一个名为r64的进程已经将我4C的CPU完全占用,判断此进程为挖矿进程.   将此进程ki…

在复现tty的死锁问题的时候,文洋兄使用了如下的方式: #include <fcntl.h> #include <unistd.h> #include <stdio.h> #define TIOCVHANGUP 0x5437 int main(int argc,char* argv[]) { int fd; ) { printf("error,you should input tty as a parameter\r\n"); ; } fd = op…

御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击. 概述 本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯御界报告系统攻陷警报 腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Serve…

进程 (Process)是指操作系统中被加载到内存中的.正在运行的应用程序实例.进程是系统资源分配的基本单元,在其生命周期内会使用系统中的各种资源.进程主要由程序.数据以及进程控制快(PCB)3个部分组成.关于其基本知识和其状态相关的知识就不介绍了.下面来看看进程的创建和操作吧. 当然,Linux系统中创建进程的函数调用很多(如:system().popen()等等),此处,主要介绍下fork()函数: /* Clone the calling process, creating an exac…

一,守护进程概述 Linux Daemon(守护进程)是运行在后台的一种特殊进程.它独立于控制终端并且周期性地执行某种任务或等待处理某些发生的事件.它不需要用户输入就能运行而且提供某种服务,不是对整个系统就是对某个用户程序提供服务.Linux系统的大多数服务器就是通过守护进程实现的.常见的守护进程包括系统日志进程syslogd. web服务器httpd.邮件服务器sendmail和数据库服务器mysqld等. 守护进程一般在系统启动时开始运行,除非强行终止,否则直到系统关机都保持运行.守护进程经…