linux肉雞挖礦
① linux是怎麼回事,好用嗎,可以抓肉雞嗎
linux是個系統就像win7一樣不過linux主要是用命令行操作的。一般出現問題非常多,出現問題也很難解決。除非你對命令非常熟悉,不過對學習計算機方面知識很有用。可以抓肉雞的
。
② linux 檢查是否成為肉雞
1、有沒有不明來源的用戶
2、ssh有無不明來源ip登錄
3、有無明顯的日誌缺失情況
4、有無不明進程啟大量連接
③ Linux伺服器變肉雞後,該用哪些命令步驟查殺病毒
一、Web Server(以Nginx為例) 1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果) 2、上傳目錄、include類的庫文件目錄要禁止代碼執.
④ 伺服器被肉雞如何解決
一、立即執行
1、更改系統管理員賬戶的密碼,密碼長度不小於8位並且使用大寫字母/小寫字母/數字/特殊字元組合;
2、更改遠程登錄埠並開啟防火牆限制允許登錄的IP,防火牆配置只開放特定的服務埠並對FTP、資料庫等這些不需要對所有用戶開放的服務進行源IP訪問控制;
3、檢查是否開放了未授權的埠
windows在CMD命令行輸入netstat /ano,檢查埠;有開放埠的根據PID檢查進程,刪除對應路徑文件(根據PID檢查進程步驟:開始-->運行-->輸入「msinfo32」 軟體環境-->正在運行的任務 )
linux 輸入命令 netstat –anp查看
4、刪除系統中未知賬戶,windows系統還需要檢查注冊表中的SAM鍵值是否有隱藏賬戶;
5、假如有WEB服務的,限制web運行賬戶對文件系統的訪問許可權,只開放僅讀許可權。
二、後期防禦
重點操作:開啟雲盾所有功能,特別是網站安全防禦 (自動防禦所有WEB攻擊)、網站後門檢測(實時檢測伺服器上的後門程序)、主機密碼破解防禦
操作步驟:登錄【雲盾控制台】 --【服務設置】 進行開啟
處理步驟:(重置系統 -- 手工修改各個密碼 -- 開啟雲盾所有服務 )
1、手工修改密碼
密碼長度不小於8位並且使用大寫字母、小寫字母、數字、特殊字元組合
至少包括:
a.伺服器登陸密碼
b.資料庫連接密碼
c.網站後台密碼
d.FTP密碼
e.其他伺服器管理軟體密碼
2、系統加固
a.到雲盾控制台開啟雲盾所有服務,尤其是雲盾網站安全防禦(可以抵禦黑客利用網站應用程序的漏洞入侵伺服器,並且有專業的安全團隊時刻關注國內安全動態,一旦發現新的漏洞出現,會立刻更新防護規則,防止黑客利用新漏洞入侵網站)
b.建議站長把網站後台隱藏起來,盡量在保證網站正常運行的前提下,把網站後台目錄名改的長長的。(比如://)
c. windows系統要及時更新系統補丁
⑤ 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
⑥ 伺服器被下挖礦了怎麼辦
哥們被下了啥挖礦?去舉報啊。之前流量礦石非常火的時候,我的伺服器也被無良黑了,成了肉雞,然後我去找到他的信息,截圖跟流量礦石舉報,就幫我處理了。你看你的被下了啥,就去找他們處理。
⑦ linux系統怎麼找到肉雞文件
制訂掃描計劃:掃描的IP地址和埠 建立多線程池,分配各個線程掃描任務 各線程發送連接請求,連接情況記錄 連接成功的地址,發送請求報文 收取應答報文,分析控制進程、線程是否啟動,或者模組是否載入 記錄肉雞的地址埠
⑧ 黑客們常說肉雞什麼的是什麼意思 有什麼作用
什麼是電腦「 肉雞」
所謂電腦肉雞,就是擁有管理許可權的遠程電腦。也就是受別人控制的遠程電腦。肉雞可以是各種系統,如win,linux,unix等;更可以是一家公司\企業\學校甚至是政府軍隊的伺服器,一般所說的肉雞是一台開了3389埠的Win2K系統的伺服器,所以3389埠沒必要開時關上最好。
肉雞一般被黑客以0.08、0.1元到30元不等價格出售。
要登陸肉雞,必須知道3個參數:遠程電腦的IP、用戶名、密碼。
說到肉雞,就要講到遠程式控制制。遠程式控制制軟體例如灰鴿子、上興等。
肉雞不是吃的那種,是中了木馬,或者留了後門,可以被遠程操控的機器,現在許多人把有WEBSHELL 許可權的機器也叫肉雞。
誰都不希望自己的電腦被他人控制,但是很多人的電腦是幾乎不設防的,很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉,別人想怎麼吃就怎麼吃,肉雞(機)一名由此而來。
[編輯本段]如何檢測自己是否成為肉雞
注意以下幾種基本的情況:
1:QQ、MSN的異常登錄提醒 (系統提示上一次的登錄IP不符)
2:網路游戲登錄時發現裝備丟失或與上次下線時的位置不符,甚至用正確的密碼無法登錄。
3:有時會突然發現你的滑鼠不聽使喚,在你不動滑鼠的時候,滑鼠也會移動,並且還會點擊有關按鈕進行操作。
4:正常上網時,突然感覺很慢,硬碟燈在閃爍,就象你平時在COPY文件。
5:當你准備使用攝像頭時,系統提示,該設備正在使用中。
6:在你沒有使用網路資源時,你發現網卡燈在不停閃爍。如果你設定為連接後顯示狀態,你還會發現屏幕右下角的網卡圖標在閃。
7:服務列隊中出可疑程服務。
8:寬頻連接的用戶在硬體打開後未連接時收到不正常數據包。(可能有程序後台連接)
9:防火牆失去對一些埠的控制。
10:上網過程中計算機重啟。
11:有些程序如殺毒軟體防火牆卸載時出現閃屏(卸載界面一閃而過,然後報告完成。)
12:一些用戶信任並經常使用的程序(QQ`殺毒)卸載後。目錄文仍然存在,刪除後自動生成。
13:電腦運行過程中或者開機的時候彈出莫名其妙的對話框
以上現象,基本是主觀感覺,並不十分准確,但需要提醒您注意。
14:還可以通過CMD下輸入 NETSTAT -AN 查看是否有可疑埠等
接下來,我們可以藉助一些軟體來觀察網路活動情況,以檢查系統是否被入侵。
1.注意檢查防火牆軟體的工作狀態
比如金山網鏢。在網路狀態頁,會顯示當前正在活動的網路連接,仔細查看相關連接。如果發現自己根本沒有使用的軟體在連接到遠程計算機,就要小心了。
2.推薦使用tcpview,可以非常清晰的查看當前網路的活動狀態。
一般的木馬連接,是可以通過這個工具查看到結果的。
這里說一般的木馬連接,是區別於某些精心構造的rootkit木馬採用更高明的隱藏技術,不易被發現的情況。
3.使用金山清理專家進行在線診斷,特別注意全面診斷的進程項
清理專家會對每一項進行安全評估,當遇到未知項時,需要特別小心。
4.清理專家百寶箱的進程管理器
可以查找可疑文件,幫你簡單的檢查危險程序所在
[編輯本段]如何避免自己的電腦成為「肉雞」
1.關閉高危埠:
第一步,點擊「開始」菜單/設置/控制面板/管理工具,雙擊打開「本地安全策略」,選中「IP 安全策略,在本地計算機」,在右邊窗格的空白位置右擊滑鼠,彈出快捷菜單,選擇「創建 IP 安全策略」,於是彈出一個向導。在向導中點擊「下一步」按鈕,為新的安全策略命名;再按「下一步」,則顯示「安全通信請求」畫面,在畫面上把「激活默認相應規則」左邊的鉤去掉,點擊「完成」按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在「屬性」對話框中,把「使用添加向導」左邊的鉤去掉,然後單擊「添加」按鈕添加新的規則,隨後彈出「新規則屬性」對話框,在畫面上點擊「添加」按鈕,彈出IP篩選器列表窗口;在列表中,首先把「使用添加向導」左邊的鉤去掉,然後再點擊右邊的「添加」按鈕添加新的篩選器。
第三步,進入「篩選器屬性」對話框,首先看到的是定址,源地址選「任何 IP 地址」,目標地址選「我的 IP 地址」;點擊「協議」選項卡,在「選擇協議類型」的下拉列表中選擇「TCP」,然後在「到此埠」下的文本框中輸入「135」,點擊「確定」按鈕(如左圖),這樣就添加了一個屏蔽 TCP 135(RPC)埠的篩選器,它可以防止外界通過135埠連上你的電腦。
點擊「確定」後回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 埠和 UDP 135、139、445 埠,為它們建立相應的篩選器。
重復以上步驟添加TCP 1025、2745、3127、6129、3389 埠的屏蔽策略,建立好上述埠的篩選器,最後點擊「確定」按鈕。
第四步,在「新規則屬性」對話框中,選擇「新 IP 篩選器列表」,然後點擊其左邊的圓圈上加一個點,表示已經激活,最後點擊「篩選器操作」選項卡。在「篩選器操作」選項卡中,把「使用添加向導」左邊的鉤去掉,點擊「添加」按鈕,添加「阻止」操作(右圖):在「新篩選器操作屬性」的「安全措施」選項卡中,選擇「阻止」,然後點擊「確定」按鈕。
第五步,進入「新規則屬性」對話框,點擊「新篩選器操作」,
其左邊的圓圈會加了一個點,表示已經激活,點擊「關閉」按鈕,關閉對話框;最後回到「新IP安全策略屬性」對話框,在「新的IP篩選器列表」左邊打鉤,按「確定」按鈕關閉對話框。在「本地安全策略」窗口,用滑鼠右擊新添加的 IP 安全策略,然後選擇「指派」。
重新啟動後,電腦中上述網路埠就被關閉了,病毒和黑客再也不能連上這些埠,從而保護了你的電腦。
2.及時打補丁 即升級殺毒軟體
肉雞捕獵者一般都是用「灰鴿子」病毒操控你的電腦,建議用灰鴿子專殺軟體殺除病毒。
3.經常檢查系統
經常檢查自己計算機上的殺毒軟體,防火牆的目錄,服務,注冊表等相關項。
黑客經常利用用戶對它們的信任將木馬隱藏或植入這些程序。
警惕出現在這些目錄里的系統屬性的DLL。(可能被用來DLL劫持)
警惕出現在磁碟根的pagefile.sys.(該文件本是虛擬頁面交換文件。也可被用來隱藏文件。要檢查系統的頁面文件的盤符是否和它們對應)
4.盜版Windows XP存在巨大風險
如果你的操作系統是其它技術人員安裝,或者有可能是盜版XP,比如電腦裝機商的**版本,蕃茄花園XP,雨木林風XP,龍卷風XP等。這樣的系統,很多是無人值守安裝的。安裝步驟非常簡單,你把光碟放進電腦,出去喝茶,回來就可能發現系統已經安裝完畢。
這樣的系統,最大的缺陷在哪兒呢?再明白不過,這種系統的管理員口令是空的,並且自動登錄。也就是說,任何人都可以嘗試用空口令登錄你的系統,距離對於互聯網來說,根本不是障礙。
5.小心使用移動存儲設備
在互聯網發展起來之前,病毒的傳播是依賴於軟磁碟的,其後讓位於網路。現在,公眾越來越頻繁的使用移動存儲設備(移動硬碟、U盤、數碼存儲卡)傳遞文件, 這些移動存儲設備成為木馬傳播的重要通道。計算機用戶通常把這樣的病毒稱為[1][2][3]U盤病毒或AUTO病毒。意思是插入U盤這個動作,就能讓病毒從一個U盤傳播到 另一台電腦。
6.安全上網
成為肉雞很重要的原因之一是瀏覽不安全的網站,區分什麼網站安全,什麼網站不安全,這對普通用戶來說,是很困難的。並且還存在原來正常的網站被入侵植入木馬的可能性,也有被ARP攻擊之後,訪問任何網頁都下載木馬的風險。
上網下載木馬的機會總是有的,誰都無法避免,只能減輕這種風險。
瀏覽器的安全性需要得到特別關注,瀏覽器和瀏覽器插件的漏洞是黑客們的最愛,flash player漏洞就是插件漏洞,這種漏洞是跨瀏覽器平台的,任何使用flash player的場合都可能存在這種風險。
[編輯本段]成為肉雞後的自救方法
一、正在上網的用戶,發現異常應首先馬上斷開連接
如果你發現IE經常詢問是你是否運行某些ActiveX控制項,或是生成莫名其妙的文件、詢問調試腳本什麼的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
一是瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬碟或是令你的Windows不斷打開窗口,直到耗盡資源死機——這種情況惡劣得多,你未保存和已經放在硬碟上的數據都可能會受到部分或全部的損失。
二是潛在的木馬發作,或是蠕蟲類病毒發作,讓你的機器不斷地向外界發送你的隱私,或是利用你的名義和郵件地址發送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的文件。
自救措施:馬上斷開連接,這樣在自己的損失降低的同時,也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統或是關機,進一步的處理措施請參看後文。
二、中毒後,應馬上備份、轉移文檔和郵件等
中毒後運行殺毒軟體殺毒是理所當然的了,但為了防止殺毒軟體誤殺或是刪掉你還未處理完的文檔和重要的郵件,你應該首先將它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份,所以上文筆者建議你先不要退出Windows,因為病毒一旦發作,可能就不能進入Windows了。
不管這些文件是否帶毒,你都應該備份,用標簽紙標記為「待查」即可。因為有些病毒是專門針對某個殺毒軟體設計的,一運行就會破壞其他文件,所以先備份是防患於未然的措施。等你清除完硬碟內的病毒後,再來慢慢分析處理這些額外備份的文件較為妥善。
三、需要在Windows下先運行一下殺CIH的軟體(即使是帶毒環境)
如果是發現了CIH病毒,要注意不能完全按平時報刊和手冊建議的措施,即先關機、冷啟動後用系統盤來引導再殺毒,而應在帶毒的環境下也運行一次專殺CIH的軟體。這樣做,殺毒軟體可能會報告某些文件受讀防寫無法清理,但帶毒運行的實際目的不在於完全清除病毒,而是在於把CIH下次開機時候的破壞減到最低,以防它在再次開機時破壞主板的BIOS硬體,導致黑屏,讓你下一步的殺毒工作無法進行。
四、需要干凈的DOS啟動盤和DOS下面的殺毒軟體
到現在,就應該按很多殺毒軟體的標准手冊去按部就班地做。即關機後冷啟動,用一張干凈的DOS啟動盤引導;另外由於中毒後可能Windows已經被破壞了部分關鍵文件,會頻繁地報告非法操作,所以Windows下的殺毒軟體可能會無法運行。所以請你也准備一個DOS下面的殺毒軟體以防萬一。
即使能在Windows下運行殺毒軟體,也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝,因為病毒會破壞掉一部分文件讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH,微軟的Outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟體帶偏見,由於開發時候側重點不同、使用的殺毒引擎不同,各種殺毒軟體都是有自己的長處和短處的,交叉使用效果較理想。
五、如果有Ghost和分區表、引導區的備份,用之來恢復一次最保險
如果你在平時用Ghost備份做了Windows的,用之來鏡像一次,得到的操作系統是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了。當然,這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也「備份」了就後患無窮了。
六、再次恢復系統後,更改你的網路相關密碼
包括登錄網路的用戶名、密碼,郵箱的密碼和QQ的密碼等,防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外隨機發送你的信息,所以及時地更改是必要的。
[編輯本段]電腦肉雞的商業價值
1.盜竊「肉雞」電腦的虛擬財產
虛擬財產有:網路游戲ID帳號裝備、QQ號里的Q幣、聯眾的虛擬榮譽值等等。虛擬財產,是可以兌現為真實貨幣的,多少不限,積累起來就是財富。
2.盜竊「肉雞」電腦里的真實財產
真實財產包括:網上銀行,大眾版可以進行小額支付,一旦你的網銀帳號被盜,最多見的就是要為別人的消費買單了。此外,還有網上炒股,證券大盜之類的木馬不少,攻擊者可以輕易獲得網上炒股的帳號,和銀行交易不同的是,攻擊者不能利用偷來的炒股帳號直接獲益,這是由股票交易的特殊性決定的。不然,網上炒股一定會成為股民的噩夢。
相當多的普通電腦用戶不敢使用網上銀行,原因就是不了解該怎樣保護網上銀行的帳號安全。事實上,網上銀行的安全性比網上炒股強很多。正確使用網上銀行,安全性和便利性都是有保障的。
3.盜竊他人的隱私數據
陳冠希事件,相信大家都知道,如果普通人的隱密照片、文檔被發布在互聯網上,後果將會十分嚴重。利用偷來的受害人隱私信息進行詐騙、勒索的案例不少。
還有攻擊者熱衷於遠程式控制制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。
如果偷到受害人電腦上的商業信息,比如財務報表、人事檔案,攻擊者都可以謀取非法利益。
4.可利用受害人的人脈關系獲取非法利益
你或許認為你的QQ號無足輕重,也沒QQ秀,也沒Q幣。實際上並非如此,你的QQ好友,你的Email聯系人,手機聯系人,都是攻擊者的目標,攻擊者可以偽裝成你的身份進行各種不法活動,每個人的人脈關系都是有商業價值的。
最常見的例子就是12590利用偷來的QQ號群發垃圾消息騙錢,還有MSN病毒,自動給你的聯系人發消息騙取非法利益。
5.在肉雞電腦上種植流氓軟體,自動點擊廣告獲利
這種情況下,會影響你的上網體驗,相信所有人都很討厭電腦自動彈出的廣告。攻擊者在控制大量肉雞之後,可以通過強行彈出廣告,從廣告主那裡收獲廣告費,流氓軟體泛濫的原因之一,就是很多企業購買流氓軟體開發者的廣告。
還有的攻擊者,通過肉雞電腦在後台偷偷點擊廣告獲利,當然,受損的就是肉雞電腦了。
6.以肉雞電腦為跳板(代理伺服器)對其它電腦發起攻擊
黑客的任何攻擊行為都可能留下痕跡,為了更好的隱藏自己,必然要經過多次代理的跳轉,肉雞電腦充當了中介和替罪羊。攻擊者為傳播更多的木馬,也許會把你的電腦當做木馬下載站。網速快,機器性能好的電腦被用作代理伺服器的可能性更大。
7.「肉雞」電腦是發起DDoS攻擊的馬前卒
DDoS,你可以理解為網路黑幫或網路戰爭,戰爭的發起者是可以獲取收益的,有人會收購這些網路打手。這些網路黑幫成員,也可以直接對目標主機進行攻擊,然後敲詐勒索。「肉雞」電腦,就是這些網路黑幫手裡的一個棋子,DDoS攻擊行為已經是網路毒瘤。
總之,「肉雞」電腦是攻擊者致富的源泉,在攻擊者的圈子裡,」肉雞「電腦就象白菜一樣被賣來賣去。在黑色產業鏈的高端,這些龐大」肉雞「電腦群的控制者構築了一個同樣龐大又黑暗的木馬帝國。
⑨ linux 被當肉雞攻擊了,怎麼解決這個漏洞
最簡單的方法是斷網
如果需要查找漏洞,你需要確認是不是有賬號有root許可權,系統文件是否正常,是否有無用的埠被打開了
⑩ 我的linux伺服器成肉雞了,向同一ip地址發送大量的udp包,把我的伺服器資源都消耗光了,怎麼解決,
1連上伺服器 找出發包進程kill掉(這一步做不到可以無視)
2數據備份(有重要數據的話)
3重做系統
4還原數據
5做好安全防護(iptables禁用不用的埠,不需要的服務關閉,升級bash最近有漏洞)