服务被挖矿程序minerd入侵的快速解决方法
作者:hu_wenjie
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu
在opt目录下发现有个异常文件,是个命令文件minerd
在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件
本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同事一查确实定时器存在一条:,果断删除处理。再杀进程,再删文件;然并卵,依旧起来;
百度资料说该根源可能是通过jenkins开放外网被黑客入侵导致,接着就把jenkins服务停止,把外网端口关闭,顺道把服务器的所有用户密码及ssh改了一遍,再把minerd进程杀掉,删文件,但是还是不行。
继续百度各种资料,检查是否存在其它定时器,在/var/spool/cron/目录下发现有个root用户的定时器文件,以为找到根源了,再次果断删除,结果,还是没有解决;
后面同事在google搜索到了一个资料,
linux - How can I kill minerd malware on an AWS EC2 instance? - Information Security Stack Exchange
各种文件删除都不起作用,原来该木马程序注册了一个“lady”的服务,而且还是开机启动,起一个这个可爱的名字,谁TMD知道这是一个木马。
把lady服务停止,删除开机启动,删除文件,恢复正常!
注意:清理完成后请及时安装防病毒软件,防止再次挖矿入侵
---2017 02 21 补充
很有网友也遇到跟我同样的问题,但是木马程序确实有点嚣张,通过利用redis的免帐号密码漏洞进行入侵
http://blog.jobbole.com/94518/
1. 修复 redis 的后门缺陷
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的密钥
3. 删除用户列表中陌生的帐号
参考文献:
到此这篇关于关于服务被挖矿程序minerd入侵解决方法的文章就介绍到这了,更多相关挖矿程序minerd入侵内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!