阿里雲伺服器被挖礦minerd入侵的解決辦法

2021-09-08 04:21:07 字數 949 閱讀 3163

hu_wen遇到的和我最相似,下邊是他的解決辦法

但我去檢視啟動的服務,盡然沒有 lady 這個服務。 找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序

1. 關閉訪問挖礦伺服器的訪問iptables -a input -s xmr.crypto-pool.fr -j dropandiptables -a output -d xmr.crypto-pool.fr -j drop.

2. chmod -x minerd  ,取消掉執行許可權, 在沒有找到根源前,千萬不要刪除 minerd,因為刪除了,過一回會自動有生成乙個。

3. pkill minerd  ,殺掉程序

4. service stop crond 或者 crontab -r 刪除所有的執行計畫

5. 執行top,檢視了一會,沒有再發現minerd 程序了。

解決minerd並不是最終的目的,主要是要查詢問題根源,我的伺服器問題出在了redis服務了,黑客利用了redis的乙個漏洞獲得了伺服器的訪問許可權,

然後就注入了病毒

下面是解決辦法和清除工作

1. 修復 redis 的後門,

配置bind選項, 限定可以連線redis伺服器的ip, 並修改redis的預設埠6379.

配置auth, 設定密碼, 密碼會以明文方式儲存在redis配置檔案中.

配置rename-command config 「rename_config」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度

好訊息是redis作者表示將會開發」real user」,區分普通使用者和admin許可權,普通使用者將會被禁止執行某些命令,如conf

2. 開啟 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 檢視你的使用者列表,是不是有你不認識的使用者新增進來。 如果有就刪除掉.

阿里雲伺服器被挖礦minerd入侵的解決辦法

hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...

阿里雲伺服器被挖礦minerd入侵的解決辦法

hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...

伺服器被入侵(minerd挖礦程式)

一 問題說明 1 我的伺服器是使用的阿里雲的centos,收到的阿里雲發來的提示郵件如下 所謂 挖礦 實質上是用計算機解決一項複雜的數學問題,來保證位元幣網路分布式記賬系統的一致性。位元幣網路會自動調整數學問題的難度,讓整個網路約每10分鐘得到乙個合格答案。隨後位元幣網路會新生成一定量的位元幣作為賞...