今天一早過(guò)來(lái)，運(yùn)維同事發(fā)現(xiàn)服務(wù)器的負(fù)載有點(diǎn)異常，打開(kāi)top一看，發(fā)現(xiàn)有個(gè)進(jìn)程一直占用很高的cpu

在opt目錄下發(fā)現(xiàn)有個(gè)異常文件，是個(gè)命令文件minerd

在確定跟項(xiàng)目不相關(guān)的情況下判斷是個(gè)木馬程序，果斷kill掉進(jìn)程，然后刪除/opt下minerd文件

本想這樣可以解決，誰(shuí)想不到15秒時(shí)間，又自動(dòng)啟動(dòng)起來(lái)，而且文件又自動(dòng)創(chuàng)建，這個(gè)讓我想起了crontab的定時(shí)器，果然運(yùn)維同事一查確實(shí)定時(shí)器存在一條：，果斷刪除處理。再殺進(jìn)程，再刪文件；然并卵，依舊起來(lái)；

百度資料說(shuō)該根源可能是通過(guò)jenkins開(kāi)放外網(wǎng)被黑客入侵導(dǎo)致，接著就把jenkins服務(wù)停止，把外網(wǎng)端口關(guān)閉，順道把服務(wù)器的所有用戶密碼及ssh改了一遍，再把minerd進(jìn)程殺掉，刪文件，但是還是不行。

繼續(xù)百度各種資料，檢查是否存在其它定時(shí)器，在/var/spool/cron/目錄下發(fā)現(xiàn)有個(gè)root用戶的定時(shí)器文件，以為找到根源了，再次果斷刪除，結(jié)果，還是沒(méi)有解決；

后面同事在google搜索到了一個(gè)資料，

linux - How can I kill minerd malware on an AWS EC2 instance? - Information Security Stack Exchange

各種文件刪除都不起作用，原來(lái)該木馬程序注冊(cè)了一個(gè)“lady”的服務(wù)，而且還是開(kāi)機(jī)啟動(dòng)，起一個(gè)這個(gè)可愛(ài)的名字，誰(shuí)TMD知道這是一個(gè)木馬。

把lady服務(wù)停止，刪除開(kāi)機(jī)啟動(dòng)，刪除文件，恢復(fù)正常！

注意：清理完成后請(qǐng)及時(shí)安裝防病毒軟件，防止再次挖礦入侵

---2017 02 21 補(bǔ)充

很有網(wǎng)友也遇到跟我同樣的問(wèn)題，但是木馬程序確實(shí)有點(diǎn)囂張，通過(guò)利用redis的免帳號(hào)密碼漏洞進(jìn)行入侵

http://blog.jobbole.com/94518/

1. 修復(fù) redis 的后門缺陷

配置bind選項(xiàng), 限定可以連接Redis服務(wù)器的IP, 并修改redis的默認(rèn)端口6379配置AUTH, 設(shè)置密碼, 密碼會(huì)以明文方式保存在redis配置文件中.配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權(quán)訪問(wèn), 也能夠給攻擊者使用config指令加大難度好消息是Redis作者表示將會(huì)開(kāi)發(fā)”real user”，區(qū)分普通用戶和admin權(quán)限，普通用戶將會(huì)被禁止運(yùn)行某些命令，如conf

2. 打開(kāi) ~/.ssh/authorized_keys, 刪除你不認(rèn)識(shí)的密鑰

3. 刪除用戶列表中陌生的帳號(hào)

參考文獻(xiàn)：

 redis未授權(quán)訪問(wèn)漏洞：Redis未授權(quán)訪問(wèn)漏洞

到此這篇關(guān)于關(guān)于服務(wù)被挖礦程序minerd入侵解決方法的文章就介紹到這了,更多相關(guān)挖礦程序minerd入侵內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論