伺服器被挖礦攻擊了怎麼辦

Ⅰ 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球

問題定位及解決步驟：

1、free -m 查看內存使用狀態 ，發現free基本沒了。--> 懷疑是服務有內存泄漏，開始排查

2、使用top命令觀察，開啟的服務佔用內存量並不大，且最終文檔在一個值，且服務為java應用，內存並沒達到父jvm設置上限。按top監控佔用內存排序，加起來也不會超過物理內存總量。查看硬碟使用量，佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素，懷疑mysql和nginx，開始排查

3、因為top命令看 mysql佔用內存也再可控范圍，是否存在connection佔用過多內存，發現並不會，設置最大連接數為1000，最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查，但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。

4、最為費解的就是 通過free -m 查看的時候 基本全是used，cache部分很少，free基本沒有。但top上又找不到有哪些進程佔用了內存。無解

5、注意到有兩個進程雖佔用內存不多，但基本耗光了100%的cpu。開始想著佔cpu就佔了，沒占內存，現在是內存不不夠導致進程被kill的，就沒注意這點。

6、實在搞不定，重啟伺服器，重啟了所有服務，服務暫時可用，回家。在路上的時候發現又崩了。忐忑的睡覺。

7、早上起來繼續看，這次留意注意了下那兩個佔用高cpu的進程，kdevtmpfsi 和 networkservice。本著看看是啥進程的心態，網路了下。真相一目瞭然，兩個挖礦病毒。

突然後知後覺的意識到錯誤原因：

1、cpu佔用率高，正常服務使用cpu頻率較高的服務最容易最內存超標。（因為在需要使用cpu時沒cpu資源，內存大量佔用，服務瞬間崩潰），然後看top發現剛剛已經佔用內存的進程已經被kill了，所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況，倒是服務一個一個逐漸被kill。

問題點基本定位好了，解決問題就相對簡單很多：
通過網路，google，常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見，大致記錄下要點。可能所有病毒都會有這些基礎操作。

① 首先，查看當前系統中的定時任務：crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件，把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r，全部刪除命令（或根據需求刪除定時任務）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除

③ kill 病毒進程，但注意kill了可能馬上就重啟了。因為有守護進程，需要把病毒進程的守護進程也kill掉

④ 檢查是否root用戶被攻擊，可能系統配置信息被更改。

⑤ 最好能理解病毒腳本，通過看代碼看它做了些什麼。針對腳本取修復系統。

Ⅱ 伺服器集群感染了挖礦木馬該怎麼辦

企業電腦可以去騰訊安全申請個騰訊御點
然後使用這個軟體選擇左側的病毒查殺
用來對伺服器裡面的木馬病毒進行查殺了檢測就行

Ⅲ 伺服器上如何清除NrsMiner挖礦病毒

挖礦病毒完整清除過程如下，請在斷網情況下進行：

1.停止並禁用Hyper-VAccess Protection Agent Service服務；

2.刪除C:Windowssystem32NrsDataCache.tlb；

3.刪除C:.dll，若刪除失敗，可重命名該文件為其他名稱；

4.重啟計算機；

5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄；

6.刪除C:Windowssystem32SecUpdateHost.exe。

7.到微軟官方網站下載對應操作系統補丁，下載鏈接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安裝國內主流殺毒軟體，及時更新至最新病毒特徵庫。

Ⅳ 伺服器被檢測出挖礦

有位朋友說，他伺服器使用的好好的，服務商突然封了他伺服器，說是被檢測出挖礦，這位朋友一臉懵「我開游戲的，挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重，那麼為什麼會被檢測出挖礦，以及怎麼處理呢？感興趣的話就繼續往下看吧~

遇到以上問題，需要先找伺服器商對其說明實際情況，配合他們排查，基本上就是中了挖礦病毒。

最簡單的方法就是重裝系統，但是系統盤數據都會清空，這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統，需要把自己的文件掃毒一遍確認安全後再導入伺服器。

但是伺服器里如果有很多重要的文件還有比較難配置的環境，那就需要排查刪除挖礦程序，全盤掃毒，刪除可疑文件，一個個修復病毒對系統的修改。

防範建議：

1.盡量不要使用默認密碼和埠，改一個比較復雜的密碼

2.可以使用寶塔面板登陸伺服器

3.系統自帶的防火牆、安全防護都不要關閉

Ⅳ 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

Ⅵ 伺服器被攻擊了怎麼辦

1、換高防IP或切換或者高防伺服器，流量攻擊進入高防ip將異常流量清洗後，保留正常流量轉到我們正常伺服器ip。
2、網站業務添加cdn，預算充足的情況下可以考慮添加cdn，但是大流量的攻擊可能產生高額cdn費用，需要酌情考慮。
3、定期排查伺服器安全漏洞，及時修補伺服器漏洞，防止被黑客利用漏洞進行伺服器攻擊。
4、設置防火牆
防火牆是可以在部分攻擊上打到抵禦的效果的，禁用一些不用的埠防止非法分子利用其埠進行攻擊。同時可以通過防火牆設置把攻擊重定向。
5、提升伺服器配置
一般的攻擊如果不是非常猛烈，可以適當提升伺服器帶寬，cpu和內存，保證資源不被攻擊消耗殆盡。
6、通過反向路由進行ip真實性檢測，禁用非真實ip也可以防禦攻擊。
7、限制SYN/ICMP流量
在路由器上配置SYN/ICMP的最大流量限制SYN/ICMP封包所能佔有的最高頻寬，大量的異常流量那基本上就是攻擊了。
8、過濾所有RFC1918
IP地址RFC1918 IP地址是內部網的IP地址，過濾攻擊時偽造的大量虛假內部IP，也是能減輕攻擊DDOS攻擊。

Ⅶ 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬

MongoDB庫中的數據莫名其妙沒有了，發覺如下信息：

1、 top -d 5命令 ，查看系統負載情況、是否有未知進程，發現一個名為kdevtmpfsi的進程，經科普它是一個挖礦程序，會佔用伺服器高額的CPU、內存資源。如圖，CPU佔用率高達788.7%，而且是yarn用戶下：

2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息（此時我的伺服器並沒有開啟yarn服務，如果有yarn的相關進程則可判斷是攻擊者開啟的進程），發現另外還有個kinsing進程，經科普kinsing進程是kdevtmpfsi的守護進程：

4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip，判斷是kdevtmpfsi的發出者：

5、經查詢該ip的所在國家是俄羅斯：

6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除：

7、 cd /tmp 進入相關目錄：

8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序：

9、** kill -9 40422**殺掉kdevtmpfsi進程：

10、發現並沒殺掉所有kdevtmpfsi進程，再次查找yarn的相關進程（因為之前已確認病毒是在yarn下），果真還有kdevtmpfsi進程存在：

11、用命令 批量殺掉 相關進程：

12、刪除kinsing文件：

13、現在，已經把挖礦程序及相關進程刪除掉了，但是還有兩處沒做處理：

14、 crontab -l 命令先看看crontab的定時任務列表吧：

15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh ：

16、新增 定時任務 並刪除攻擊者的挖礦定時任務：

17、 crontab -l命令 查看現在只有殺進程的定時任務了：

18、禁止黑客的IP地址。

最初安裝MongoDB時，並未設置密碼認證，存在漏洞，導致黑客通過漏洞攻擊伺服器，並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的，治標不治本，應該定時刪除病毒進程，禁止攻擊者IP，重新安裝系統或相關軟體。

經過幾天的觀察，伺服器運行正常，再沒有被黑客攻擊成功。

Ⅷ 挖礦病毒怎麼處理

挖礦病毒處理步驟如下：

1、查看伺服器進程運行狀態查看伺服器系統整體運行情況，發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。

2、查看埠及外聯情況查看埠開放狀態及外聯情況，發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址，進一步確定該進程為惡意挖礦進程：定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。

6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。

7、查找敏感文件發現authorized_keys文件。

8、查看ssh日誌文件查看ssh日誌文件，發現大量登陸痕跡以及公鑰上傳痕跡。

Ⅸ 伺服器被攻擊了怎麼辦

安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。

一、處理伺服器遭受攻擊的一般思路

系統遭受攻擊並不可怕，可怕的是面對攻擊束手無策，下面就詳細介紹下在伺服器遭受攻擊後的一般處理思路。

1.切斷網路

所有的攻擊都來自於網路，因此，在得知系統正遭受黑客的攻擊後，首先要做的就是斷開伺服器的網路連接，這樣除了能切斷攻擊源之外，也能保護伺服器所在網路的其他主機。

2.查找攻擊源

可以通過分析系統日誌或登錄日誌文件，查看可疑信息，同時也要查看系統都打開了哪些埠，運行哪些進程，並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。

3.分析入侵原因和途徑

既然系統遭到入侵，那麼原因是多方面的，可能是系統漏洞，也可能是程序漏洞，一定要查清楚是哪個原因導致的，並且還要查清楚遭到攻擊的途徑，找到攻擊源，因為只有知道了遭受攻擊的原因和途徑，才能刪除攻擊源同時進行漏洞的修復。

4.備份用戶數據

在伺服器遭受攻擊後，需要立刻備份伺服器上的用戶數據，同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中，一定要徹底刪除，然後將用戶數據備份到一個安全的地方。

5.重新安裝系統

永遠不要認為自己能徹底清除攻擊源，因為沒有人能比黑客更了解攻擊程序，在伺服器遭到攻擊後，最安全也最簡單的方法就是重新安裝系統，因為大部分攻擊程序都會依附在系統文件或者內核中，所以重新安裝系統才能徹底清除攻擊源。

6.修復程序或系統漏洞

在發現系統漏洞或者應用程序漏洞後，首先要做的就是修復系統漏洞或者更改程序bug，因為只有將程序的漏洞修復完畢才能正式在伺服器上運行。

7.恢復數據和連接網路

將備份的數據重新復制到新安裝的伺服器上，然後開啟服務，最後將伺服器開啟網路連接，對外提供服務。

二、檢查並鎖定可疑用戶

當發現伺服器遭受攻擊後，首先要切斷網路連接，但是在有些情況下，比如無法馬上切斷網路連接時，就必須登錄系統查看是否有可疑用戶，如果有可疑用戶登錄了系統，那麼需要馬上將這個用戶鎖定，然後中斷此用戶的遠程連接。

1.登錄系統查看可疑用戶

通過root用戶登錄，然後執行「w」命令即可列出所有登錄過系統的用戶，如下圖所示。

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄，同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。

2.鎖定可疑用戶

一旦發現可疑用戶，就要馬上將其鎖定，例如上面執行「w」命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄許可權的)，於是首先鎖定此用戶，執行如下操作：

• [root@server ~]# passwd -l nobody

鎖定之後，有可能此用戶還處於登錄狀態，於是還要將此用戶踢下線，根據上面「w」命令的輸出，即可獲得此用戶登錄進行的pid值，操作如下：

• [root@server ~]# ps -ef|grep @pts/3

• 531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3

• [root@server ~]# kill -9 6051

這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。

3.通過last命令查看用戶登錄事件

last命令記錄著所有用戶登錄系統的日誌，可以用來查找非授權用戶的登錄事件，而last命令的輸出結果來源於/var/log/wtmp文件，稍有經驗的入侵者都會刪掉/var/log/wtmp以清除自己行蹤，但是還是會露出蛛絲馬跡在此文件中的。

三、查看系統日誌

查看系統日誌是查找攻擊源最好的方法，可查的系統日誌有/var/log/messages、/var/log/secure等，這兩個日誌文件可以記錄軟體的運行狀態以及遠程用戶的登錄狀態，還可以查看每個用戶目錄下的.bash_history文件，特別是/root目錄下的.bash_history文件，這個文件中記錄著用戶執行的所有歷史命令。

四、檢查並關閉系統可疑進程

檢查可疑進程的命令很多，例如ps、top等，但是有時候只知道進程的名稱無法得知路徑，此時可以通過如下命令查看：

首先通過pidof命令可以查找正在運行的進程PID，例如要查找sshd進程的PID，執行如下命令：

然後進入內存目錄，查看對應PID目錄下exe文件的信息：

這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄，可以查看如下目錄：

[root@server ~]# ls -al /proc/13276/fd

通過這種方式基本可以找到任何進程的完整執行信息，此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如，可以通過指定埠或者tcp、udp協議找到進程PID，進而找到相關進程：

在有些時候，攻擊者的程序隱藏很深，例如rootkits後門程序，在這種情況下ps、top、netstat等命令也可能已經被替換，如果再通過系統自身的命令去檢查可疑進程就變得毫不可信，此時，就需要藉助於第三方工具來檢查系統可疑程序，例如前面介紹過的chkrootkit、RKHunter等工具，通過這些工具可以很方便的發現系統被替換或篡改的程序。

五、檢查文件系統的完好性

檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法，例如可以檢查被入侵伺服器上/bin/ls文件的大小是否與正常系統上此文件的大小相同，以驗證文件是否被替換，但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證，操作如下：

對於輸出中每個標記的含義介紹如下：

S 表示文件長度發生了變化M 表示文件的訪問許可權或文件類型發生了變化5 表示MD5校驗和發生了變化D 表示設備節點的屬性發生了變化L 表示文件的符號鏈接發生了變化U 表示文件/子目錄/設備節點的owner發生了變化G 表示文件/子目錄/設備節點的group發生了變化T 表示文件最後一次的修改時間發生了變化

如果在輸出結果中有「M」標記出現，那麼對應的文件可能已經遭到篡改或替換，此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。

不過這個命令有個局限性，那就是只能檢查通過rpm包方式安裝的所有文件，對於通過非rpm包方式安裝的文件就無能為力了。同時，如果rpm工具也遭到替換，就不能通過這個方法了，此時可以從正常的系統上復制一個rpm工具進行檢測。

對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成，關於chkrootkit、RKHunter工具的使用，下次將展開介紹。

Ⅹ 伺服器被攻擊後怎麼處理

1、發現伺服器被入侵，應立即關閉所有網站服務，暫停至少3小時。這時候很多站長朋友可能會想，不行呀，網站關閉幾個小時，那該損失多大啊，可是你想想，是一個可能被黑客修改的釣魚網站對客戶的損失大，還是一個關閉的網站呢?你可以先把網站暫時跳轉到一個單頁面，寫一些網站維護的的公告。
2、下載伺服器日誌，並且對伺服器進行全盤殺毒掃描。這將花費你將近1-2小時的時間，但是這是必須得做的事情，你必須確認黑客沒在伺服器上安裝後門木馬程序，同時分析系統日誌，看黑客是通過哪個網站，哪個漏洞入侵到伺服器來的。找到並確認攻擊源，並將黑客掛馬的網址和被篡改的黑頁面截圖保存下來，還有黑客可能留下的個人IP或者代理IP地址。
3、Windows系統打上最新的補丁，然後就是mysql或者sql資料庫補丁，還有php以及IIS，serv-u就更不用說了，經常出漏洞的東西，還有就是有些IDC們使用的虛擬主機管理軟體。
4、關閉刪除所有可疑的系統帳號，尤其是那些具有高許可權的系統賬戶!重新為所有網站目錄配置許可權，關閉可執行的目錄許可權，對圖片和非腳本目錄做無許可權處理。
5、完成以上步驟後，你需要把管理員賬戶密碼，以及資料庫管理密碼，特別是sql的sa密碼，還有mysql的root密碼，要知道，這些賬戶都是具有特殊許可權的，黑客可以通過他們得到系統許可權!
6、Web伺服器一般都是通過網站漏洞入侵的，你需要對網站程序進行檢查(配合上面的日誌分析)，對所有網站可以進行上傳、寫入shell的地方進行嚴格的檢查和處理。如果不能完全確認攻擊者通過哪些攻擊方式進行攻擊，那就重裝系統，徹底清除掉攻擊源。