我的服务器被挖矿了,原因竟是。。。

这篇具有很好参考价值的文章主要介绍了我的服务器被挖矿了,原因竟是。。。。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

一、什么是挖矿

比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。

「寻找代码」的过程,就是挖矿。

设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。

为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。

二、被挖矿主机现象

挖矿木马最大的特点就是「CPU占用高」,占用高以后,电脑温度就会升高、风扇噪音也会变大,服务器上的业务变得异常缓慢。

三、挖矿木马处置思路

1)隔离

非重要业务系统直接下线隔离再做排查。

重要业务系统:在不影响业务的前提下,及时隔离当前主机,如禁用非业务使用端口、服务、配置ACL白名单。

2)确认挖矿进程

挖矿程序的进程名称一般表现为两种形式:

一种是不规则的数字或字母,这种需要检查哪些不常见的名字。

另一种是伪装成常见的进程,这种就重点看CUP占用高的进程。

3)清除木马

网络层面阻断挖矿木马与矿池的通信。

清除挖矿定时任务,启动项等。

定位挖矿文件位置并删除。

4)加固

根据挖矿木马的传播方式,修复相应漏洞,防止再次感染。


四、挖矿木马处置步骤

首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。

而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。

最后通过账号、日志、母体文件等信息,溯源攻击路径。

1)Windows

0、挖矿木马现象

CPU占用高,主机卡顿

1、排查进程

思路:

通过网络连接定位进程PID,再通过PID定位具体程序,通过任务管理器定位进程文件位置。
排查CUP占用高的、进程名异常的进程。

相关命令:

netstat -ano 查看网络连接,最常见的就是大量445的连接。

tasklist | findstr “PID” 根据PID查看具体的进程。

wmic process | findstr “进程名称” 根据进程名获取进程位置。

attrib -H 文件名 取消隐藏属性,很多时候我们定位到文件位置时,发现文件夹是空的,这时候就需要取消文件的隐藏属性并显示文件的后缀名。

2、排查账号

思路:

检查弱口令、可疑账号,比如新建账号、隐藏账号、克隆账号

相关命令:

net user查看当前系统的账号,与用户确认,是否有新建的可疑账号;询问用户账号口令是什么,是否存在弱口令。

WIN + R,输入lusrmgr.msc,查看是否有隐藏账号。

3、排查启动项

WIN + R,输入 regedit,打开注册表,看开机启动项。

WIN + R,输入msconfig 或【任务管理器】-【启动】

4、排查计划任务

【控制面板】-【计划任务】

cmd 输入at或schtasks.exe。

5、日志分析

WIN + R,输入 eventvwr.msc

重点看登录日志,看登录类型,2(网络共享)和10(远程桌面)是挖矿木马出现最多的登录类型。

根据样本文件的创建时间,排查这个时间段的登录情况。

2)Linux

1、排查进程

top命令检查CUP占用高的进程,确定PID,定位文件位置

netstat -anp 查看网络连接

ps -ef 查看可疑进程

ps -aux 查看进程

ls -alh /proc/PID 根据PID查看进程对应的可执行程序

kill -9 PID 结束进程

2、排查账号

cat /etc/passwd 查看用户信息

last 用户最近登录的信息

lastlog 所有用户最后一次登录的信息

lastb 用户登录失败的信息

history 历史命令

3、排查定时任务

crontab -l 查看计划任务

cat /etc/crontab 查看计划任务

crontab -u root -l 查看root用户的计划任务

ls /etc/cron* 查看计划任务文件

4、排查启动项

/etc/rc*

/etc/rc.d/rc

/etc/rc

/etc/rc.local

/etc/rc.d/rc.local

/etc/rc.d/rc

/etc/init/*.conf

五、挖矿木马应急实例

驱动人生挖矿木马:

利用永恒之蓝传播。

存在大量445连接行为,netstat -ano | grep 445

服务名包含drivers(\windows\system32\drivers\svchost.exe)

母体文件设置为隐藏,会创建多个计划任务(Rsta或其他随机名称),调用PowerShell。

粉丝福利

评论区评论参与抽奖,送《Windows PowerShell自动化运维大全》一本。

《Windows PowerShell自动化运维大全》由微软最有价值专家、微软TechEd优秀讲师徐鹏著作,多年经验毫无保留分享,一本书完全讲透Windows PowerShell自动化运维所有核心知识点,赠送同步视频学习教程,助你从运维初级工程师转向高级运维工程师!一本书精通Windows PowerShell自动化运维!

本书从基础的 PowerShell 命令开始,先后讲述了基础命令、模块、脚本的编写等相关知识。同时为了让大家更快地理解和掌握 PowerShell 的环境配置和编写,我们使用系统内置的 PowerShell ISE 开发环境进行 PowerShell 代码的开发和运行。为了照顾很多基础薄弱的读者,在进行代码案例演示时都使用了 15 行以内的代码。

本书可作为学校培训与企业培训的基本学习教程和工具书,相信通过本书的学习,读者可以更快地理解 PowerShell在日常生活及企业内的应用,为读者在自动化运维的道路上助力。

我的服务器被挖矿了,原因竟是。。。文章来源地址https://www.toymoban.com/news/detail-434212.html

到了这里,关于我的服务器被挖矿了,原因竟是。。。的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 服务器『反挖矿』防护指南

    系统配置:2核2G 3M CentOS7.9 之前的文章中『一文教你如何防御数据库恶意攻击』,我们讲到黑客如何通过攻击数据库来获取权限,以及我们需要如何处理防护服务器 接下来我们将要讲述另外一种黑客攻击的手段 —— 挖矿,本文将从黑客如何入侵,布置挖矿程序入手,逐步讲

    2024年02月19日
    浏览(50)
  • 服务器挖矿病毒怎么解决

    挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。

    2024年02月16日
    浏览(50)
  • 华为云云耀云服务器L实例评测|服务器反挖矿防护指南

    本文为 华为云云耀云服务器L实例 测评文章,测评内容是 云耀云服务器L实例 反挖矿防护指南 系统配置:2核2G 3M CentOS7.9 之前的文章中『一文教你如何防御数据库恶意攻击』,我们讲到黑客如何通过攻击数据库来获取权限,以及我们需要如何处理防护云耀云服务器L实例 接下

    2024年02月09日
    浏览(41)
  • 服务器bash进程占用cpu过多疑似中挖矿病毒记录

    因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一

    2024年01月18日
    浏览(46)
  • 记一次阿里云被挖矿处理记录

    摘要 莫名其妙的服务器就被攻击了,又被薅了羊毛,当做免费的挖矿劳动力了。 上班(摸鱼)好好的,突然收到一条阿里云的推送短信,不看不知道,两台服务器被拉去作为苦力,挖矿去了。这不是耽误我摸鱼吗,再说你挖到的矿币又不带我分,岂能忍。本着对公司负责任

    2024年02月13日
    浏览(57)
  • 【linux】挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!

    可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。 不能正常显示GPU被哪些进程占用 在/tmp/.x/目录中 总结: amdmemtweak: 优化显存时序,提高挖矿效能 config.ini: 挖矿配置文件 doos.pid: 挖矿进程的pid号 logs: 挖矿病毒的输出log nanominer: 3.7.7-linux版本的挖矿病毒,这

    2024年02月14日
    浏览(47)
  • 【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒

    五星红旗在bg飘扬——中国黑客的复仇 这里的“挖矿”只是个说法不是拿着锄头进矿洞,是指一段时间内在比特币系统中发生的交易进行确认,并记录在 区块链 上,形成新的区块,而挖矿的人叫作 矿工 。比特币系统的记账权利是去中心化的,即每个矿工都有记账的权利,只

    2023年04月15日
    浏览(55)
  • 我的世界安装fabric服务器(云服务器)

    (1)首先我们需要先搞到一台云服务器,如阿里云,腾讯云,等等我用的是阿里云的2核2g,(因为学生可以免费用,赞),云服务器搞到手之后那,我们先进入服务器,记住公网ip   (2)我们在进行远程登录服务器之前我们需要给他配置密码如图所示步骤 (3)我们还需要打开云服务器的23333,2444

    2024年02月09日
    浏览(44)
  • 从我的电脑怎么进入ftp服务器

    1、鼠标双击桌面上的我的电脑,打开。 2、在打开的窗口中将地址中的内容删掉。 3、在地址栏中输入ftp://服务器的地址,按回车键。   4、在打开的界面中输入用户名,密码,点击登录。   5、在打开的界面就是服务器中的内容了,现在可以操作文件了。  

    2024年02月11日
    浏览(37)
  • 淦、我的服务器又被攻击了

    「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

    2024年02月08日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包