服务器受到挖矿攻击
『壹』 服务器上如何清除NrsMiner挖矿病毒
挖矿病毒完整清除过程如下,请在断网情况下进行:
1.停止并禁用Hyper-VAccess Protection Agent Service服务;
2.删除C:Windowssystem32NrsDataCache.tlb;
3.删除C:.dll,若删除失败,可重命名该文件为其他名称;
4.重启计算机;
5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录;
6.删除C:Windowssystem32SecUpdateHost.exe。
7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安装国内主流杀毒软件,及时更新至最新病毒特征库。
『贰』 云服务器中挖矿病毒的清除过程(二)
发现一台服务器,CPU使用率一直50%左右,top查看一进程名称为
-bash,按c查看详情,名称显示为python
十分可疑
杀掉进程,清空crontab内容,并删除此目录文件,发现过一阵进程又被启动起来了
查看/etc/cron.hourly,发现有一个sync文件,还是会定时执行,内容为
此文件还被加了保护权限,需要用chattr去除后删除
cron.daily cron.weekly cron.monthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除
删除/opt/.new目录时,发现此目录下还有一个/opt/.md目录,内容如下
病毒运行原理是
其他常用的诊断命令
关联文章:
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复
参考文章:
【PC样本分析】记录最近与挖矿病毒的斗智斗勇
【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)
『叁』 新买的云服务器提示挖矿
利用云电脑的计算资源执行挖矿的持续性程序,
已停止是服务绝大数都是正常的。这些已停止表示你已经禁用或停止了相关的服务,但停止不是卸载,所以它们仍然存在是正常的,每台电脑里都有许多已停止的服务,不用担心。你真正要担心的是360那个提示,可在任务管理器中查着活动进程,若某进程CPU或内存占用高,而你又不明确该进程是干嘛的,可以先结束进程再看看360还会不会提醒!
『肆』 服务器被检测出挖矿
有位朋友说,他服务器使用的好好的,服务商突然封了他服务器,说是被检测出挖矿,这位朋友一脸懵“我开游戏的,挖什么矿”。突然地关停服务器导致这位朋友损失惨重,那么为什么会被检测出挖矿,以及怎么处理呢?感兴趣的话就继续往下看吧~
遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。
最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。
但是服务器里如果有很多重要的文件还有比较难配置的环境,那就需要排查删除挖矿程序,全盘扫毒,删除可疑文件,一个个修复病毒对系统的修改。
防范建议:
1.尽量不要使用默认密码和端口,改一个比较复杂的密码
2.可以使用宝塔面板登陆服务器
3.系统自带的防火墙、安全防护都不要关闭
『伍』 一次挖矿病毒攻击分析
这两天期末了,最近老板这里突然来了个任务,客户服务器被攻击了,某台机器的cpu一直都跑满了,持续高负荷状态,客户公司的运营实在没有办法找到了我们。
先说一说之前这台服务器也出现过问题,被两波人搞过,一波写了webshell,另个一种了挖矿病毒,都被清除了,当然这些我都没有参与。
因为老板比较忙,我和另一个小伙伴接手进行分析,我们拿到这台服务器,既然是web服务器,最好得最有效的办法就是看web日志,但是这个日志是在很多,这就考虑经验问题了,另一个小伙伴道行比我深,他发现了痕迹:
通过很多尝试,在筛选“wget”的时候找到了攻击痕迹。
emmmmm,看到这个POST的请求,基本可以猜测出就是这几天爆出的thinkphp新的rce,具体读者可以去看看相关的报告,rce的分析网上也有了,有想去的可以去了解一下。根据这条日志,筛选ip我们找到了具体的攻击痕迹:
上传ibus脚本文件到tmp目录下命名为指定文件,这里www用户有对tmp目录的读写权限。
执行tmp中上传的指定文件,并等待执行完成,删除文件.
本地虚拟环境执行了一下这个ibus脚本:
可以看到这里执行生成了三个sh简单加密的脚本文件:nmi,nbus和.dbus是哪个文件,这三个脚本文件解密之后是三个cat和perl的脚本,分别执行了一下命令:
执行了三个perl脚本,就是挖矿的脚本了。最后我们把生成的恶意文件备份之后就进行清除了,总共是三个sh脚本,三个perl挖矿脚本和两个记录id的随机数之类的文件。
怎么说呢,这次攻击分析看似挺简单的,但是最难的部分,从日志里找出攻击者的恶意访问是很困难的,需要有很多的经验,比如对最近新漏洞的了解,以及各类典型漏洞的攻击方式,才能及时的从庞大的日志文件中根据特征找到攻击者的痕迹。
安全从业者还是十分吃经验的,博主也会更多的在实战中历练自己,也会分享记录自己的经验。
『陆』 服务器集群感染了挖矿木马该怎么办
企业电脑可以去腾讯安全申请个腾讯御点
然后使用这个软件选择左侧的病毒查杀
用来对服务器里面的木马病毒进行查杀了检测就行
『柒』 云服务器中挖矿病毒的清除过程(三)
服务器CPU使用率50%,被两个进程占用,名称分别为
-mysql
zfsutils-md5sum
使用crontab -l查看定时任务,发现病毒文件-mysql
查看这个/var/.log/目录,发现更多病毒文件,-mysql是个脚本,内容如下
查看/etc/crontab.daily目录,发现一个文件名为ntpdate
/bin/sysprg创建日期与ntupdate是同一天,文件大小与x86_64相同,无疑也是个病毒文件。
进入到/var/spool/cron目录查看文件权限,发现被加了保护,使用lsattr去除,再编辑删除内容即可
禁用crontab
云服务器中挖矿病毒的清除过程(一)
云服务器中挖矿病毒的清除过程(二)
『捌』 服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球
问题定位及解决步骤:
1、free -m 查看内存使用状态 ,发现free基本没了。--> 怀疑是服务有内存泄漏,开始排查
2、使用top命令观察,开启的服务占用内存量并不大,且最终文档在一个值,且服务为java应用,内存并没达到父jvm设置上限。按top监控占用内存排序,加起来也不会超过物理内存总量。查看硬盘使用量,占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素,怀疑mysql和nginx,开始排查
3、因为top命令看 mysql占用内存也再可控范围,是否存在connection占用过多内存,发现并不会,设置最大连接数为1000,最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查,但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。
4、最为费解的就是 通过free -m 查看的时候 基本全是used,cache部分很少,free基本没有。但top上又找不到有哪些进程占用了内存。无解
5、注意到有两个进程虽占用内存不多,但基本耗光了100%的cpu。开始想着占cpu就占了,没占内存,现在是内存不不够导致进程被kill的,就没注意这点。
6、实在搞不定,重启服务器,重启了所有服务,服务暂时可用,回家。在路上的时候发现又崩了。忐忑的睡觉。
7、早上起来继续看,这次留意注意了下那两个占用高cpu的进程,kdevtmpfsi 和 networkservice。本着看看是啥进程的心态,网络了下。真相一目了然,两个挖矿病毒。
突然后知后觉的意识到错误原因:
1、cpu占用率高,正常服务使用cpu频率较高的服务最容易最内存超标。(因为在需要使用cpu时没cpu资源,内存大量占用,服务瞬间崩溃),然后看top发现刚刚已经占用内存的进程已经被kill了,所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况,倒是服务一个一个逐渐被kill。
问题点基本定位好了,解决问题就相对简单很多:
通过网络,google,常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见,大致记录下要点。可能所有病毒都会有这些基础操作。
① 首先,查看当前系统中的定时任务:crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件,把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r,全部删除命令(或根据需求删除定时任务)
② 查找病毒文件 可以全部模糊搜索 清除, 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除
③ kill 病毒进程,但注意kill了可能马上就重启了。因为有守护进程,需要把病毒进程的守护进程也kill掉
④ 检查是否root用户被攻击,可能系统配置信息被更改。
⑤ 最好能理解病毒脚本,通过看代码看它做了些什么。针对脚本取修复系统。
『玖』 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马
MongoDB库中的数据莫名其妙没有了,发觉如下信息:
1、 top -d 5命令 ,查看系统负载情况、是否有未知进程,发现一个名为kdevtmpfsi的进程,经科普它是一个挖矿程序,会占用服务器高额的CPU、内存资源。如图,CPU占用率高达788.7%,而且是yarn用户下:
2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息(此时我的服务器并没有开启yarn服务,如果有yarn的相关进程则可判断是攻击者开启的进程),发现另外还有个kinsing进程,经科普kinsing进程是kdevtmpfsi的守护进程:
4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip,判断是kdevtmpfsi的发出者:
5、经查询该ip的所在国家是俄罗斯:
6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除:
7、 cd /tmp 进入相关目录:
8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序:
9、** kill -9 40422**杀掉kdevtmpfsi进程:
10、发现并没杀掉所有kdevtmpfsi进程,再次查找yarn的相关进程(因为之前已确认病毒是在yarn下),果真还有kdevtmpfsi进程存在:
11、用命令 批量杀掉 相关进程:
12、删除kinsing文件:
13、现在,已经把挖矿程序及相关进程删除掉了,但是还有两处没做处理:
14、 crontab -l 命令先看看crontab的定时任务列表吧:
15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh :
16、新增 定时任务 并删除攻击者的挖矿定时任务:
17、 crontab -l命令 查看现在只有杀进程的定时任务了:
18、禁止黑客的IP地址。
最初安装MongoDB时,并未设置密码认证,存在漏洞,导致黑客通过漏洞攻击服务器,并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的,治标不治本,应该定时删除病毒进程,禁止攻击者IP,重新安装系统或相关软件。
经过几天的观察,服务器运行正常,再没有被黑客攻击成功。
『拾』 服务器中 kdevtmpfsi 挖矿病毒
服务器CPU飙升到100%,发现可以进程 kdevtmpfsi
网上查资料,是因为 redis 漏洞引起的,但服务器上并没有装 redis,后来再国外的网站查到可能是因为 laravel 的版本引起的
https://stackoverflow.com/questions/60151640/kdevtmpfsi-using-the-entire-cpu
这个进程以及相关进程,都是运行在 www 用户下,并且会加上一个定时任务
解决办法:
1、删除定时任务
看是否有 www 的定时任务,如果有的话,删除并且放一个占位文件,让病毒无权限修改
2、删除病毒文件
并且放一个假文件在 tmp 目录(用处不大,病毒会自己改名,加后缀)
3、杀进程
4、升级 laravel
把 ignition 升级到 2.5.1 以上
5、阻止 IP 访问。病毒会去下面这两个IP读脚本下来