伺服器中了挖礦病毒怎麼處理
1. top cpu飆高,中了挖礦程序----解決方法
1.發現cpu異常,查看對應的進程信息
2.查看進程發現是挖礦進程在執行
3.確定是挖礦病毒,查看進程的執行文件鏈接到哪裡,發現是jenkins的工作目錄,最後結果發現是jenkins的漏洞導致自動創建CI計劃,進行啟動挖礦腳本
4.查看虛機密碼是否被破解登錄
5.查找挖礦文件
6.檢查定時任務腳本
jenkins CVE-2018-1999002 漏洞修復: https://paper.seebug.org/648/
jenkings漏洞利用: https://xz.aliyun.com/t/4756
CI安全隱患: https://www.jianshu.com/p/8939aaec5f25
jenkins漏洞描述地址: https://www.cyberark.com/threat-research-blog/tripping-the-jenkins-main-security-circuit-breaker-an-inside-look-at-two-jenkins-security-vulnerabilities/
2. 伺服器被攻擊並植入kdevtmpfsi挖礦/病毒/木馬
MongoDB庫中的數據莫名其妙沒有了,發覺如下信息:
1、 top -d 5命令 ,查看系統負載情況、是否有未知進程,發現一個名為kdevtmpfsi的進程,經科普它是一個挖礦程序,會佔用伺服器高額的CPU、內存資源。如圖,CPU佔用率高達788.7%,而且是yarn用戶下:
2、 ps -ef |grep kdevtmpfsi 命令查看 該挖礦程序路徑:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多關於yarn相關進程信息(此時我的伺服器並沒有開啟yarn服務,如果有yarn的相關進程則可判斷是攻擊者開啟的進程),發現另外還有個kinsing進程,經科普kinsing進程是kdevtmpfsi的守護進程:
4、 netstat -lntupaa 命令查看是否有異常的ip,果然發現194.87.102.77這個陌生的ip,判斷是kdevtmpfsi的發出者:
5、經查詢該ip的所在國家是俄羅斯:
6、 find / -iname kdevtmpfsi 命令再次確定命令所在位置以便刪除:
7、 cd /tmp 進入相關目錄:
8、 rm -rf kdevtmpfsi 刪除kdevtmpfsi程序:
9、** kill -9 40422**殺掉kdevtmpfsi進程:
10、發現並沒殺掉所有kdevtmpfsi進程,再次查找yarn的相關進程(因為之前已確認病毒是在yarn下),果真還有kdevtmpfsi進程存在:
11、用命令 批量殺掉 相關進程:
12、刪除kinsing文件:
13、現在,已經把挖礦程序及相關進程刪除掉了,但是還有兩處沒做處理:
14、 crontab -l 命令先看看crontab的定時任務列表吧:
15、編寫刪除挖礦程序腳本 kill_kdevtmpfsi.sh :
16、新增 定時任務 並刪除攻擊者的挖礦定時任務:
17、 crontab -l命令 查看現在只有殺進程的定時任務了:
18、禁止黑客的IP地址。
最初安裝MongoDB時,並未設置密碼認證,存在漏洞,導致黑客通過漏洞攻擊伺服器,並在程序里植入木馬/病毒。單純的kill -9 id殺掉病毒進程是殺不徹底的,治標不治本,應該定時刪除病毒進程,禁止攻擊者IP,重新安裝系統或相關軟體。
經過幾天的觀察,伺服器運行正常,再沒有被黑客攻擊成功。
3. 解決挖礦病毒的經歷
線上一台伺服器,CPU高達90%以上,經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果,很快就會自動恢復
排查步驟:
結果:
病毒被植入到了線上運行的某一docker容器內。
如何先確定是哪一容器再去刪除搜索結果中的病毒文件?
我這台機器跑的容器不多,可以用復制文件的方法,先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以確定容器了。結果是php的容器出現了問題。
知道是具體是什麼容器出現了問題,最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器,所以先啟動了一個新php容器,修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。(nginx容器已經映射目錄到宿主機)
修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄
測試線上環境正常後,刪除原來的php容器。(這是自然也==直接刪除了病毒文件)
執行 TOP命令,CPU佔用正常。
平時防火牆和sellinux都關閉的話,伺服器不要暴漏太多無用埠,出現問題應該最新通過進程名去查找文件的原始位置去分析問題,遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本
4. 伺服器上如何清除NrsMiner挖礦病毒
挖礦病毒完整清除過程如下,請在斷網情況下進行:
1.停止並禁用Hyper-VAccess Protection Agent Service服務;
2.刪除C:Windowssystem32NrsDataCache.tlb;
3.刪除C:.dll,若刪除失敗,可重命名該文件為其他名稱;
4.重啟計算機;
5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄;
6.刪除C:Windowssystem32SecUpdateHost.exe。
7.到微軟官方網站下載對應操作系統補丁,下載鏈接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安裝國內主流殺毒軟體,及時更新至最新病毒特徵庫。
5. 伺服器被檢測出挖礦
有位朋友說,他伺服器使用的好好的,服務商突然封了他伺服器,說是被檢測出挖礦,這位朋友一臉懵「我開游戲的,挖什麼礦」。突然地關停伺服器導致這位朋友損失慘重,那麼為什麼會被檢測出挖礦,以及怎麼處理呢?感興趣的話就繼續往下看吧~
遇到以上問題,需要先找伺服器商對其說明實際情況,配合他們排查,基本上就是中了挖礦病毒。
最簡單的方法就是重裝系統,但是系統盤數據都會清空,這種辦法適用於伺服器里沒什麼需要備份的文件。如果選擇重裝系統,需要把自己的文件掃毒一遍確認安全後再導入伺服器。
但是伺服器里如果有很多重要的文件還有比較難配置的環境,那就需要排查刪除挖礦程序,全盤掃毒,刪除可疑文件,一個個修復病毒對系統的修改。
防範建議:
1.盡量不要使用默認密碼和埠,改一個比較復雜的密碼
2.可以使用寶塔面板登陸伺服器
3.系統自帶的防火牆、安全防護都不要關閉
6. 我的電腦似乎中了挖礦病毒,求解怎麼辦
建議您安裝瑞星殺毒軟體V16+版本升級到最新病毒庫後,重啟計算機按F8鍵選擇安全模式,進行病毒掃描查殺;
如果病毒很頑固或者破壞了系統文件 推薦重新安裝系統即可。
7. 伺服器被rshim挖礦病毒攻擊後 HugePages_Total 透明大頁怎麼都清不掉 一直佔用內存 球球
問題定位及解決步驟:
1、free -m 查看內存使用狀態 ,發現free基本沒了。--> 懷疑是服務有內存泄漏,開始排查
2、使用top命令觀察,開啟的服務佔用內存量並不大,且最終文檔在一個值,且服務為java應用,內存並沒達到父jvm設置上限。按top監控佔用內存排序,加起來也不會超過物理內存總量。查看硬碟使用量,佔用20%。基本排除虛擬內存佔用過大的原因。--->排除服務內存泄漏因素,懷疑mysql和nginx,開始排查
3、因為top命令看 mysql佔用內存也再可控范圍,是否存在connection佔用過多內存,發現並不會,設置最大連接數為1000,最多也不會超過幾M。 nginx佔用一直非常小。但每次最先被kill的基本都是nginx進程。所以排查,但發現無非就是openfiles數量啥的調整。發現也一切正常。且之前niginx可以正常使用的。
4、最為費解的就是 通過free -m 查看的時候 基本全是used,cache部分很少,free基本沒有。但top上又找不到有哪些進程佔用了內存。無解
5、注意到有兩個進程雖佔用內存不多,但基本耗光了100%的cpu。開始想著佔cpu就佔了,沒占內存,現在是內存不不夠導致進程被kill的,就沒注意這點。
6、實在搞不定,重啟伺服器,重啟了所有服務,服務暫時可用,回家。在路上的時候發現又崩了。忐忑的睡覺。
7、早上起來繼續看,這次留意注意了下那兩個佔用高cpu的進程,kdevtmpfsi 和 networkservice。本著看看是啥進程的心態,網路了下。真相一目瞭然,兩個挖礦病毒。
突然後知後覺的意識到錯誤原因:
1、cpu佔用率高,正常服務使用cpu頻率較高的服務最容易最內存超標。(因為在需要使用cpu時沒cpu資源,內存大量佔用,服務瞬間崩潰),然後看top發現剛剛已經佔用內存的進程已經被kill了,所以沒發現內存有高佔用的情況。
2、後面的應用繼續使用cpu時也會發生類似情況,倒是服務一個一個逐漸被kill。
問題點基本定位好了,解決問題就相對簡單很多:
通過網路,google,常見的病毒清除步驟基本都能解決。這兩個挖礦病毒很常見,大致記錄下要點。可能所有病毒都會有這些基礎操作。
① 首先,查看當前系統中的定時任務:crontab -l
我伺服器上有四個定時下載任務 通過wget 和 curl 下載病毒文件,把異常的刪掉。要不然刪了病毒文件還是會下載下來
crontab -r,全部刪除命令(或根據需求刪除定時任務)
② 查找病毒文件 可以全部模糊搜索 清除, 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 後再使用rm -f filename 。可刪除
③ kill 病毒進程,但注意kill了可能馬上就重啟了。因為有守護進程,需要把病毒進程的守護進程也kill掉
④ 檢查是否root用戶被攻擊,可能系統配置信息被更改。
⑤ 最好能理解病毒腳本,通過看代碼看它做了些什麼。針對腳本取修復系統。
8. 雲伺服器中挖礦病毒的清除過程(二)
發現一台伺服器,CPU使用率一直50%左右,top查看一進程名稱為
-bash,按c查看詳情,名稱顯示為python
十分可疑
殺掉進程,清空crontab內容,並刪除此目錄文件,發現過一陣進程又被啟動起來了
查看/etc/cron.hourly,發現有一個sync文件,還是會定時執行,內容為
此文件還被加了保護許可權,需要用chattr去除後刪除
cron.daily cron.weekly cron.monthly裡面也有
同樣方法刪除/bin/sysdrr
至此病毒被徹底清除
刪除/opt/.new目錄時,發現此目錄下還有一個/opt/.md目錄,內容如下
病毒運行原理是
其他常用的診斷命令
關聯文章:
雲伺服器中挖礦病毒的清除過程
伺服器中毒導致的wget等系統命令失效後的恢復
參考文章:
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇
【PC樣本分析】記錄最近與挖礦病毒的鬥智斗勇(二)
9. 芯動礦機病毒解決辦法
詳細解決辦法如下:
瑞星安全專家建議,對於一般用戶,針對挖礦病毒攻擊,採取如下防禦措施,及時更新系統補丁,防止攻擊者通過漏洞入侵系統。使用復雜密碼,安裝殺毒軟體,保持監控開啟,及時更新病毒庫,及時備份資料庫。不打開可疑的郵件附件,不點擊郵件中的可疑鏈接。
對於規模較大、設備類型眾多、維護工作繁重的企業,推薦使用終端殺毒軟體,進行統一查殺,統一打補丁。企業還可以在網路入口處部署防毒牆,在網關處對病毒進行初次攔截,將絕大多數病毒徹底剿滅在企業網路之外。同時,對於企業中存在的虛擬化設備可以部署虛擬化專用版安全軟體,有效保障企業內部虛擬系統不受病毒侵擾。
10. 電腦中了挖礦病毒
方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。
2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。
3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。
4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。
5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。
6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)