最近这两天以来,服务器一致声音很响.本来以为有同事在运行大的程序,结果后来发现持续很长时间都是这样,并没有停的样子.后来查了一下,发现有几个可疑进程导致,干掉之后,果然服务器静悄悄了. 但是,问题并没有结束,过了一会儿,服务器又开始轰鸣了,查找了一下,这里简单记录一下. 1.查看top结果,可见如下情况: top - :: up days, :, users, load average: 80.62, 78.60, 77.78 Tasks: total, running, sleeping, s…

概要: 一.症状及表现 二.查杀方法 三.病毒分析 四.安全防护 五.参考文章 一.症状及表现 1.CPU使用率异常,top命令显示CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用: *注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox,具体的安装和下载步骤参见参考文章(https://blog.csdn.net/u010457406/article/details/89328869). 2.crontab 定时…

XMR挖矿教程 XMR介绍 门罗币(Monero,代号XMR)是一个创建于2014年4月开源加密货币,它着重于隐私.分权和可扩展性.与自比特币衍生的许多加密货币不同,Monero基于CryptoNote协议,并在区块链模糊化方面有显著的算法差异.Monero的模块化代码结构得到了比特币核心维护者之一的Wladimir J. van der Laan的赞赏.Monero在2016年经历了市值(从5百万美元至1.85亿美元)和交易量的快速增长,这部分是因为它在2016年夏季末期得到了主要的暗网市场A…

突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: root 386m S : /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT root 3448m 292m 14m S :02.07 /usr/java/default/bin/java -Xm…

SSH 暴力破解趋势:从云平台向物联网设备迁移 | 云鼎实验室出品 from: http://www.freebuf.com/articles/paper/177473.html 导语:近日,腾讯云发布2018上半年安全专题系列研究报告,该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过溯源还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南.上篇报告从DDoS 攻击的角度揭示了云上攻击最新趋势,本篇由同一技术团队云鼎实验室分享:「SSH暴力…

记录一次服务器被入侵的解决方法 一:问题说明 1.我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况(top 命令),看到一个名为minerd的进程占用了99.5%的CPU  2.minerd是个挖矿程序,什么是“挖矿”,特此百度了一下, 所谓“挖矿”实质上是用计算机解决一项复杂的数学问题,来保证比特币网络分布式记账系统的一致性.比特币网络会自动调整数学问题的难度,让整个网络约每10分钟得到一个合格答案.随后比特币网络会新生成一定量的比特币作为赏金…

区块链的火热,利益驱使必然导致不少PC或Server,被变成肉鸡,执行挖矿程序进行挖矿,进而导致我们正常的程序无法正常. (Centos7 Server)使用top命令查看服务器进程运行情况,发现几个较诡异进程.CPU战用长期居高不下,系统负载load average值更是高出平时近百倍,且进程运行在一个原本并不存在的用户上.系统遭入侵是必然的,并且运行着占用巨大算力的程序,联想到之前由此阿里云主机有过一次矿机入侵经历,想必这次挖矿程序入侵已是大概率事件. 下面要做的就是找出挖矿程序,清除并提升…

1 发现问题 在腾讯云上购买了一个centos7的服务器,平时用来练手,偶尔也安装一些程序进行测试,上面安装了mysql和redis,前段时间数据库经常掉线,连不上,到腾讯云后台进行查看,通过服务器实例的监控窗口,可以查看服务器的一些指标状态,包括CPU.内存.流量等数据,本来看到CPU使用超过了90%,然后用kill -9 pid,或者重启服务器,问题当时解决了,也就没有太注意,结果第二天发现,CPU的利用率又变成了90%以上,然后再杀进程. 刚杀完就出现新的进程,CPU利用率还是90%以上,…

前几天发现服务器报警,cpu使用率已达100%,查资料知道正是最近比较流行的挖矿程序在捣鬼.我们使用的是阿里云的服务器,操作系统是windows server.网上有大量的资料讲如何处理,我把自己处理的思路以及实践过程和大家分享. 1 关闭危险端口 这一步主要是杜绝重复感染,一般挖矿程序都是利用服务器的端口漏洞,将程序放到了服务器上,关闭端口,防止程序重复放到服务器,这样我们就可以关起门来收拾服务器上的挖矿程序了.如何关闭139端口及445端口等危险端口. 参考文章:https://jingya…

此次服务器被植入挖矿程序发现起来较为巧合,首先是上周三开始,我通过sonatype/nexus3搭建的仓库间歇性崩溃,但是每次重新start一下也能直接使用所以没有彻底清查,去docker logs里查看发现是执行bash命令和powershell命令出错,没有想明白是什么原因. 后来恰好ES更新7.0版本了,我一看“呦呵,7.0里面连type都没有了?”赶紧跟个风,于是把我运行很长时间的ES5.6+kibana5.6的镜像删除了,去官网pull了最新的ES和kibana镜像.在启动的过程中ES…

阿里云盾最近报发现wanacry蠕虫病毒和挖矿进程异常 仔细检查进程后,发现两个奇怪的进程 Eternalblue-2.2.0.exe,winlogins.exe 特别是伪装成 winlogins.exe 的这个进程,把cpu都给占用完了.经查询,这是一起利用永恒之蓝漏洞植入的挖矿程序.这都什么人哪,太狠了,要是cpu占用低点我就发现不了了. 打开对应进程的文件目录,结束进程后把文件夹删掉,cpu一下子下降了. 最后附上一张对方程序的配置信息: tiantian0258.9 应该就是对方的比特币…

Mining时代进化:CPU挖矿 -> GPU挖矿 -> FPGA挖矿 -> ASIC挖矿CPU挖矿时代:SENGENERATEGPU挖矿时代:GETWORK Miner:挖矿的程序或者机器统称矿工 挖矿本质:执行Hash函数的过程,而Hash函数是一个单输入单输出函数,输入数据就是一个区块头 区块头分为六个字段:nVersion 版本号(固定)hashPrewBlock 前一个区块hash(固定)hashMerkleRoot 交易Merkle根(理论上提供2^256种可能)nTime…

Mac遇到挖矿程序应急的方法 工作笔记:   1.起因:监控发现jsonrpc挖矿报警,询问当事人描述当时情况是安装了sketch软件.   网上可以定位到该IOC   运行后该IOC流量依然可以观测到:  2.分析:安装当事人发来的iflymac.dmg文件,首先会打开lauch-installer安装程序,通过运行专用下载器执行script文件,文件利用curl下载sketch. AutoCAD.Betterzip.Moveist等常用mac os软件其中之一,根据传参来判断.下载完会运行x…

0×00 背景概述 近日,同伴的一台Linux服务器中了kworkerds挖矿程序,随即对挖矿程序进行了处理与分析. 0×01服务器现状 进入服务器之后通过top命令,没有发现有占用CPU资源过高的进程,随后使用busybox top命令查看发现一个kworkerds的程序占用CPU资源达到了99%,计划任务中被写入恶意下载命令: 系统top命令界面: 使用busybox top命令界面: 写入的计划任务: 0×02脚本分析: 1)  mr.sh脚本: 清理文件或其他挖矿程序: 值得一提的是,脚…

原因是由于Kubernetes Apiserver不安全配置所致,Apiserver提供了资源操作的唯一入口,并提供认证.授权.访问控制.API注册和发现等机制,所以apiserver的安全至关重要. 解决方法步骤 可通过kubectl get rc y1ee115 -o yaml  看到挖矿程序yaml文件 1.杀死挖矿程序 #pkill -9 xmrig 或者 #kill -9 进程号 2.删除相关rc,命令如下 #kubectl delete rc y1ee115 3.firewalld防…

现在比特币的价格涨得很高,所以现在有黑客专门制造挖矿木马来诱导网友,从而达到控制电脑上的显卡来挖掘比特币.为什么木马要控制电脑中的显卡呢?因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高.如果你是一位 3D 游戏玩家,正好中了比特币挖矿木马,就会发现在玩游戏时会非常卡顿. 那么,跟我们今天提到的挖矿minerd进程又有何关系呢? 发现问题 最近一台安装了Gitlab的服务器发生了高负载告警,Cpu使用情况如下: 让后登录到服务器,利用top查看CPU使用情况,这个叫minerd的程序消耗cpu…

参考 https://blog.csdn.net/qq_37837029/article/details/82314428 重要的一点,移除下面文件里面的定时任务 /var/spool/cron/crontabs/root /var/spool/cron/root 本人删除kill -9进程, 移除/tmp/ddgs.3016,  qW***.文件都没用. 删除/root/.ssh/authori_keys里面的免密登入.…

病毒现象 服务器出现卡顿.CPU飙升 和其他主机的445端口,建立起大量的连接 存在大量Powershell进程 病毒处置 封堵445端口; 或打永恒之蓝漏洞补丁(https://wukungt.github.io/2019/03/05/Windows%E8%A1%A5%E4%B8%81%E6%9B%B4%E6%96%B0/).加强主机密码且密码各不相同. 在AF等设备添加规则,限制访问下列域名和IP:web4.olukotun.infoupdate.7h4uk.cominfo.7h4uk.co…

如下图,在修改密码的时候会报错 原因: 通常不能修改密码都是/etc/passwd文件或者/etc/shadow文件被锁住了 解决: 检查/etc/passwd文件和/etc/shadow文件是否被锁定,看下图: ①检查/etc/passwd文件 /etc/passwd文件正常 ②检查/etc/shadow文件 可以看到/etc/shadow文件确实是被锁定了,a权限表示"锁定后文件仅可追加" 如果是i,则表示"锁定文件(无法修改.删除等)" ③解锁/etc/sha…

前言 数字货币因其技术去中性化和经济价值等属性,逐渐成为大众关注的焦点,同时通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径.本文简析通过蜜罐获取的XMR恶意挖矿事件:攻击者通过爆破SSH获取系统权限,配置root用户免密登录,并下载及执行XMR 挖矿程序,及XMR 网页挖矿程序.XMR挖矿程序耗肉鸡CPU/GPU资源,网页挖矿程序耗访问肉鸡服务器JS 网页的客户端资源 . 2018年10月11日,攻击者使用恶意IP(223.89.72.8)暴力破解Victim的SSH服务成功,获取系统账…

注:以下所有操作均在CentOS 7.2 x86_64位系统下完成. 今天突然收到“阿里云”的告警短信: 尊敬的****:云盾云安全中心检测到您的服务器:*.*.*.*(app)出现了紧急安全事件:挖矿程序,建议您立即登录云安全中心控制台-安全告警查看事件详情,并根据事件建议的方案进行处理. 于是登上“云盾云安全中心”查看,发现安全提示: 点进去查看详细信息: 网上查了下,发现这是一款在Linux/Windows双平台的挖矿病毒木马,该木马是通过Redis漏洞传播的挖矿木马DDG的变种,使用Go…

背景 近日,阿里云安全监测到watchbog挖矿木马使用新曝光的Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)进行攻击并挖矿的事件. 值得注意的是,这一攻击开始的时间(2月24日),与2月5日上述产品的母公司发布漏洞公告,相隔仅仅半个多月,再次印证了“漏洞从曝光到被黑产用于挖矿的时间越来越短”.此外,攻击者还利用了Supervisord, ThinkPHP等产品的漏洞进行攻击. 本文分析了该木马的内部结构和传播方式,并就如何清理.预防类似挖矿木…

步骤很简单 1 下载最新版的 libuv(地址:https://github.com/libuv 2 安装Git,Python 2.7 ,cmake(这里使用的是 3.11.0-win64-x64 版本)并且添加到环境变量,也就是直接敲命令,git,python,cmake,系统提示让你输入参数 3 使用 Microsoft Visual Studio 2017 (15.4.4 版本)命令行工具进入到文件的解压目录 4 打开科学上网工具,在浏览器中输入 Google,确保能正确访问 Google…

大家都知道,最近挖矿什么的非常流行,于是我也在网上看了一些大神写的教程,以及跟一些大神请教过如何挖矿,但是网上的教程都感觉写得不够详细,于是今天我这里整理一个教程,希望能够帮到想要挖矿的朋友. 首先,我们今天要演示的是挖XMR Monero(门罗币),在挖币前,我们首先了解一下挖币需要用到的几个参数: 1.交易账号 2.钱包地址 3.Payment ID 4.Worker ID 5.邮箱地址 上面5个东西是挖矿中需要用到的,前2个是必须的,后面3个视设置而定,有时候可以不用. 1.创建交易账号和…

发现: 网站首页被恶意更改 网站的关键词和描述被恶意更改 服务器和只要访问此服务器上的网页cup 直线上升100% 排查代码发现js 文件被恶意更改,访问了挖矿网站 操作:删除js 里面的恶意代码,更改了账号. 网站查询得知:网站被XMR 恶意挖矿,服务器已经被攻击. 建议措施: (1)账号加固: (2)系统资源.网络.进程监控: (3)检查系统是否有恶意资源滥用情况(ELF挖矿程序): (4)检查系统是否有恶意JS网页挖矿脚本(网页挖矿脚本): (5)其他 附带:网络说明 https://ww…

莱特币ltc在linux下的多种挖矿方案详解 4.0.1 Nvidia显卡Linux驱动Nvidia全部驱动:http://www.nvidia.cn/Download/index.aspx?lang=cnNvidia GeForce®驱动:http://www.geforce.cn/driversNVidia CUDA http://developer.nvidia.com/cuda/cuda-downloads http://developer.nvidia.com/cuda/cuda-to…

CentOS7(增加源) yum repolist # 查看yum源列表 yum localinstall http://dl.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm -y yum makecache # 将服务器上的软件包信息下载到本地缓存, 以提高搜索和安装软件的速度 yum repolist # 可以再次查看新加入的列表 yum install pptpd -y # 再次执行安装…

转自:https://www.360zhijia.com/anquan/417114.html 0x01 快速特征排查 TOP显示CPU占用高,但是没有高占用的进程 存在与未知服务器13531端口建立的TCP连接 文件/etc/ld.so.preload中指向了/usr/local/lib/libntp.so 存在可疑执行base64编码的python进程 0x02 快速清除 #!/bin/bash ps aux|grep "I2NvZGluZzogdXRmLTg"|grep -v g…

背景 2月20日17时许,阿里云安全监测到一起大规模挖矿事件,判断为Watchdogs蠕虫导致,并在第一时间进行了应急处置. 该蠕虫短时间内即造成大量Linux主机沦陷,一方面是利用Redis未授权访问和弱密码这两种常见的配置问题进行传播,另一方面从known_hosts文件读取ip列表,用于登录信任该主机的其他主机.这两种传播手段都不是第一次用于蠕虫,但结合在一起爆发出巨大的威力. 然而Watchdogs并不是第一个造成这般影响的Redis蠕虫.截至目前,Redis配置问题已惨遭40余种蠕虫攻…

背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三方dmg都是携带了相关恶意程序的. 现象 根据用户反映中招用户一般会有以下几个症状: CPU占有率高 系统卡顿 活动监视器打不开 电脑过热 木马 感染 经过简要分析,怀疑该木马源起于第三方安装包,在解压安装过程中,生成了一个伪装成11.png(名字可以变)的恶意文件和com.apple.Yahoo.…