糟糕！服務(wù)器被植入挖礦木馬，CPU飆升200%

某日，正在午休中，突然一則噩耗從前線傳來：網(wǎng)站不能訪問了!

有興趣的同學(xué)想查看以上完整源代碼，命令行運(yùn)行下面指令(不分操作系統(tǒng)，方便安全無污染)：

殺掉，找到存放目錄：

進(jìn)入臨時(shí)目錄：

被我發(fā)現(xiàn)配置文件了，先來看看內(nèi)容：

虎軀一震，發(fā)現(xiàn)了不少信息啊，User 是他的 Server 的登錄用戶,下面是密碼，只可惜加密過，應(yīng)該找不到對(duì)方。

算了，大度的我先不和你計(jì)較。干掉這兩個(gè)文件后再查看 Top：

解決辦法

找到寄生的目錄，一般都會(huì)在 tmp 里，我這個(gè)是在 /var/tmp/。首先把 crontab 干掉，殺掉進(jìn)程，再刪除產(chǎn)生的文件。啟動(dòng) Tomcat 等程序，大功告成!

等等，這遠(yuǎn)遠(yuǎn)不夠，考慮到能被拿去挖礦的前提下你的服務(wù)器都已經(jīng)被黑客入侵了，修復(fù)漏洞才對(duì)，不然你殺掉進(jìn)程刪掉文件后，黑客后門進(jìn)來 history 一敲，都知道你做了啥修復(fù)手段。

所以上面辦法治標(biāo)不治本，我后續(xù)做了以下工作：

• 把所有軟件升級(jí)到新版本。
• 修改所有軟件默認(rèn)端口號(hào)。
• 打開 ssh/authorized_keys，刪除不認(rèn)識(shí)的密鑰。
• 刪除用戶列表中陌生的帳號(hào)。
• 封了他的 ip。
• SSH 使用密鑰登錄并禁止口令登錄(這個(gè)一般是加運(yùn)維一個(gè)人的秘鑰)。

對(duì)了，本次遭受攻擊是低版本 ActiveMQ 開放端口 61616 有漏洞，大家記得做優(yōu)化。

遇到挖礦木馬最好的解決方式：將主機(jī)鏡像、找出病毒木馬、分析入侵原因、檢查業(yè)務(wù)程序、重裝系統(tǒng)、修復(fù)漏洞、再重新部署系統(tǒng)。

寫在最后

網(wǎng)友提供的一勞永逸終極解決辦法：把你自己的挖礦腳本掛上去運(yùn)行，這樣別人就算掛腳本也跑不起來了。

分享名稱：糟糕！服務(wù)器被植入挖礦木馬，CPU飆升200%
分享鏈接：http://www.bm7419.com/news46/102346.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供域名注冊(cè)、靜態(tài)網(wǎng)站、服務(wù)器托管、網(wǎng)頁設(shè)計(jì)公司、云服務(wù)器、虛擬主機(jī)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)