今天一早過來，運維同事發(fā)現服務器的負載有點異常，打開top一看，發(fā)現有個進程一直占用很高的cpu

在opt目錄下發(fā)現有個異常文件，是個命令文件minerd

在確定跟項目不相關的情況下判斷是個木馬程序，果斷kill掉進程，然后刪除/opt下minerd文件

本想這樣可以解決，誰想不到15秒時間，又自動啟動起來，而且文件又自動創(chuàng)建，這個讓我想起了crontab的定時器，果然運維同事一查確實定時器存在一條：，果斷刪除處理。再殺進程，再刪文件；然并卵，依舊起來；

百度資料說該根源可能是通過jenkins開放外網被黑客入侵導致，接著就把jenkins服務停止，把外網端口關閉，順道把服務器的所有用戶密碼及ssh改了一遍，再把minerd進程殺掉，刪文件，但是還是不行。

繼續(xù)百度各種資料，檢查是否存在其它定時器，在/var/spool/cron/目錄下發(fā)現有個root用戶的定時器文件，以為找到根源了，再次果斷刪除，結果，還是沒有解決；

后面同事在google搜索到了一個資料，

linux - How can I kill minerd malware on an AWS EC2 instance? - Information Security Stack Exchange

各種文件刪除都不起作用，原來該木馬程序注冊了一個“lady”的服務，而且還是開機啟動，起一個這個可愛的名字，誰TMD知道這是一個木馬。

把lady服務停止，刪除開機啟動，刪除文件，恢復正常！

注意：清理完成后請及時安裝防病毒軟件，防止再次挖礦入侵

---2017 02 21 補充

很有網友也遇到跟我同樣的問題，但是木馬程序確實有點囂張，通過利用redis的免帳號密碼漏洞進行入侵

http://blog.jobbole.com/94518/

1. 修復 redis 的后門缺陷

配置bind選項, 限定可以連接Redis服務器的IP, 并修改redis的默認端口6379配置AUTH, 設置密碼, 密碼會以明文方式保存在redis配置文件中.配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權訪問, 也能夠給攻擊者使用config指令加大難度好消息是Redis作者表示將會開發(fā)”real user”，區(qū)分普通用戶和admin權限，普通用戶將會被禁止運行某些命令，如conf

2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的密鑰

3. 刪除用戶列表中陌生的帳號

參考文獻：

 redis未授權訪問漏洞：Redis未授權訪問漏洞

到此這篇關于關于服務被挖礦程序minerd入侵解決方法的文章就介紹到這了,更多相關挖礦程序minerd入侵內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論