黑基网 首页 学院 网络安全 查看内容

一次阿里云服务被挖矿的经历

2017-9-23 01:10| 投稿: xiaotiger |来自: 互联网

摘要: 今年3月份的时候,因业务需要要在新购入的阿里云服务器上搭建openresty+lua程序调用阿里云redis数据库,因为想方便查看redis的数据,顺便在服务器上安装的redis客户端。午饭后,想看一下openresty占用内存及cpu的情 ...

今年3月份的时候,因业务需要要在新购入的阿里云服务器上搭建openresty+lua程序调用阿里云redis数据库,因为想方便查看redis的数据,顺便在服务器上安装的redis客户端。午饭后,想看一下openresty占用内存及cpu的情况。突然发现cpu占用率竟然达到了100%,而引起cpu 100%的是一个wnTKYg程序。

不明白wnTKYg是什么,上网百度了一下,这个竟然是传说中的叫挖矿的程序,俗称挖矿机。心里凉了一下,竟被我遇上了。第一次遇上这个问题,直接找到这个程序的pid,就马上kill了,在top的时候,这个程序竟然又起来了,cpu占有率也还是达到了100%。看来没找到问题的根源,再一次百度处理程序的方法。

其中看到了1篇和我遇上情况一样的文章。网上说的是redis的空子进来的,redid密码太简单,端口6379未变。好了,重点说一下解决的办法。参照网上的处理方法:

  1. 关闭访问挖矿服务器的访问:iptables -I INPUT -s www.bdyutiudwj.com -j DROP;iptables -A OUTPUT -d www.bdyutiudwj.com -j DROP

  2. 找到minerd程序:find / -name wnTKYg*

  3. 去掉执行权限:chmod -x wnTKYg

  4. 杀掉进程:pkill wnTKYg

  5. 清除定时任务:在 /var/spool/cron 下的文件直接删除

  6. 清除文件:除了opt下面的两个异常文件需要清除,/tmp文件夹下也有文件需要清除

因为服务器上只是redis客户端,我直接drop了,以绝后患,查看数据的话,直接登录阿里云的redis管理界面查看。

最后记住redis在生产上的配置一点要重视,密码,端口,防火墙...

附上看到的一片博客,也是关于wnTKYg的问题。http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html

内容如下:

杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。

由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%,

很明显是病毒进程,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

知道wnTKYg是什么鬼之后,我不急着杀死它,先百度了一下它怎么进来的,百度上关于它的帖子特别少,说是钻了redis的空子进来的,我基本上赞同这个说法,第一步就是对redis进行了配置上的修改:

① 把默认的端口号6379给改了

② 把密码改的更复杂了

③ 把bind xx.xx.x.x xx.xx.xx.xx改了

修改redis是防止这熊孩子再进来,第二步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了/root/.ssh 下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把 /root/.ssh 下的文件都删了,省事了。

第三步就是要找到所有关于病毒的文件, 执行命令 find / -name wnTKYg*,只有/tmp下有这个文件,删了,然后就去kill wnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill 然后top观察进行变化,终于被我发现了,有一个/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,用ps -aux|grep ddg 命令把所有ddg进程找出来杀掉,并删除/tmp目录下的所有的对应ddg文件,至此,病毒被解决了,异地登录,安全扫描什么的也被我解决了。

很多哥们也遇到了这个问题,加了我好友,并且描述了他们的一些情况,我会把他们的改进和补充也写在此贴里,有的哥们会有个定时任务下载这些东西,目录 /var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。

安全问题依然严峻,于是找了一家安全公司--安全狗咨询了下相关的安全业务,发现蛮贵的,都是万开头的,而且我也不知道他们水平怎么样,于是把我遇到的问题跟业务员说了,看看他们怎么解决,怎么收费,谈判了一下午,定价3500,没的再低了,哎,还是我好,又为公司省了3500。

因为发了这篇帖子,一位和我情况差不多的网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:首先关闭挖矿的服务器访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 然后删除yam 文件 用find / -name yam查找yam 文件 之后 找到wnTKYg 所在目录 取消掉其权限 并删除 然后再取消掉 tmp 的权限并删除 之后 pkill wnTKYg就OK了。

如果觉得这篇文章对您起了帮助,记得点赞加评论,让更多人可以看到,问题能够快速的解决。

转载的话,记得注明出处,把我博客地址http://blog.sina.com.cn/pastlifezhangchilde贴上,谢谢

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/i6468125686929310222/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 游客 2017-11-29 23:48
MtxvpL http://www.LnAJ7K8QSpfMO2wQ8gO.com

查看全部评论(1)


新出炉

返回顶部