一:問題說明
1、我的伺服器是使用的阿里雲的centos,收到的阿里雲發來的提示郵件如下
所謂「挖礦」實質上是用計算機解決一項複雜的數學問題,來保證位元幣網路分布式記賬系統的一致性。位元幣網路會自動調整數學問題的難度,讓整個網路約每10分鐘得到乙個合格答案。隨後位元幣網路會新生成一定量的位元幣作為賞金,獎勵獲得答案的人。
位元幣的本質其實就是一堆複雜演算法所生成的特解。特解是指方程組所能得到無限個(其實位元幣是有限個)解中的一組。而每乙個特解都能解開方程並且是唯一的。[8] 以人民幣來比喻的話,位元幣就是人民幣的序列號,你知道了某張鈔票上的序列號,你就擁有了這張鈔票。而挖礦的過程就是通過龐大的計算量不斷的去尋求這個方程組的特解,這個方程組被設計成了只有 2100 萬個特解,所以位元幣的上限就是 2100 萬。[8]
所以才會這麼佔cpu。
二:解決方法
文中使用了stackexchange上乙個回答的解決方法:
嘗試使用上述步驟解決:
(1)關閉訪問挖礦伺服器的訪問iptables -a input -s xmr.crypto-pool.fr -j drop和iptables -a output -d xmr.crypto-pool.fr -j drop
(2)刪除/usr/local/etc下root檔案中的內容
(3)刪除yam檔案(我的yam檔案不是在上面說的/opt目錄下的,使用find命令查詢,然後刪除)
(4)刪除/root/.ssh/khk75neoiq
(5)刪除/opt/minerd和/opt/khk75neoiq33
(6)殺死minerd程序,pkill minerd或者kill -9 程序id
(7)前面步驟沒有問題,到這裡我是沒有lady這個服務的,殺死minerd程序後過大約5分鐘左右minerd程序又出現了。
問題沒有解決。
2、然後看到如下乙個解決方法
(1)同1中的第一步
(2)chmod -x minerd,取消掉執行許可權
(3)殺死程序pkill minerd
(4)然後執行一段時間發現minerd沒有出現了
問題解決。
三:總結
因為我centos上安裝了redis,看網上說是黑客利用redis的漏洞獲得了伺服器的訪問許可權。
一次伺服器被攻擊的記錄
最初始的時候是安全部門告知我們 伺服器疑似被攻擊 然後和客戶協調了安全部門的兩位人員協助排查一下,主要排查了系統日誌 messages和secure nginx日誌和tomcat日誌,還排查了一些系統登入 操作異常 登入資訊 歷史命令等 排查後沒有發現什麼異常,所以當時判斷伺服器沒有被攻擊 過了大概...
記一次Linux伺服器被入侵後的檢測過程
000 前言 故事是這樣的,大年初一,客戶反應他們伺服器無法訪問,檢視路由,發現某 oracle tomcat 伺服器 udp 流量超大,把頻寬佔完了,過年嘛,客戶那邊先找了當地的技術人員弄了幾天沒搞定,然後沒辦法大年初三的找我們弄 顧客是上帝!其實吧以前也遇到過這類攻擊,當時某idc都被打癱了,只...
記一次伺服器被挖礦程式攻擊解決
這兩天先後收到阿里雲的兩條簡訊,一次提示有挖礦程式 一次提示伺服器上的crontab被改了。中間隔了1天。剛開始我還沒有引起注意,看到有挖礦程式的時候,用top檢視到有mined的程序,就直接kill掉了,後來又遇到的時候,發現不對啊,有兩個特別佔cpu的程序,分別是qw3xt.2和ddgs.301...