晚上收到阿里雲伺服器被攻擊的緊急郵件,登入控制台就發現遭到了惡意植入挖礦病毒,直接把我cpu資源吃完了,可恨。
主要是挖礦程式和惡意指令碼**執行,我把這六個問題分別截圖,挨個來解決
一、挖礦程式
看這兩個挖礦程式的pid相同,直接追蹤目標吧。應該是通過惡意植入了乙個檔案。先通過top檢視了資源情況,好傢伙,直接抓到凶犯。
本想著直接kill -9殺掉該程序再說,但看了阿里雲社群的相關案例,發現這種挖礦程式似乎還會出現,於是通過ls -l /proc/30282/exe找到了這個檔案所在目錄,似乎就是阿里雲控制台提示的tmp目錄,然後再按時間順序開啟目錄(ls -lt -al),索性沒有出現可疑檔案,直接rm掉watchdog就行了。ok,至此解決掉這個惡意程式了。
二、訪問惡意ip
看描述應該是基於上面那個watchdog挖礦檔案來實現而已訪問的,我想watchdog都已經刪了,應該就不用管了。
四、惡意指令碼執行
這裡通過程序鏈明顯可以看到,是我ruoyi-admin.jar出了問題,攻擊者就是通過它進行了後面一系列的攻擊。這是我用來管理自己專案的乙個開源後端框架,於是我跑到它的開源社群尋找相關issues,沒想到還真有,哈哈。看了作者和一些開發者的交流,最終定位問題如下:
1資料庫問題:可能是redis、mysql弱密碼導致。
2框架本身引用了一些帶有漏洞的第三方依賴。
如果是框架本身的漏洞,我暫時也沒空換其它框架,也沒精力去尋找漏洞挨個修復,所以就先解決弱密碼問題吧,看來密碼真的不能隨便設定啊,算是第一次被這種形式的攻擊,漲個教訓吧。
雲伺服器的挖礦病毒。
朋友的阿里雲放著沒用了,我就借來打算放兩個小東西上去,結果一上去看到cpu 100 我的天,如果這是個windows,我就要開始懷疑他是不用這個來看愛情片。當在cpu爆滿。使用top命名會發現有若干個程序長期占用及高的cpu,那麼問題就出在這些程序上,想都不用想kill 9 pid瞬間消滅!垃圾病毒...
阿里雲伺服器手動清除挖礦病毒
阿里雲伺服器ecs較便宜的版本,其安全性不高。如果再加上人為相關的不當操作,伺服器很容易受到攻擊。其中一種情況是伺服器受到挖礦程式的攻擊。登入到伺服器檢視程序,可以發現cpu占用很高的兩個程式 sysupdate和networkservice。檢視挖礦程式目錄 輸入命令ls l proc exe,可...
如何清除Linux雲伺服器上的挖礦病毒?
linux系統雲伺服器如何清除挖礦病毒 1.使用以下命令及時關閉挖礦伺服器 root fuwuqi iptables a input s xmr.crypto pool.fr j drop root fuwuqi iptables a output d xmr.crypto pool.fr j dr...