记一次服务器被挖矿木马攻击的经历

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/details/78994909

背景


利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~

清除恶意程序


首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图:

(图2) 先删除/tmp/imWBR1,再kill掉imWBR1进程。在上图2中,除了imWBR1,看到还有一个进程,主要目的是从下载imWBR1这个程序,它可能是imWBR1的守护进程,果不其然,过了一会,imWBR1又“活”了,应该就是这个守护进程搞的鬼,找到该进程的名字为“ddg.2021”:

对应的文件同在/tmp/目录下,名为“ddg.2021”,同样删除文件,kill掉该进程。

但是过了一会,这两个小东西又出现了,可能是利用定时任务在不断重启服务,看了下定时任务,果然在我的定时任务里动了手脚:

删除这两个定时任务,顺便禁掉218.248.40.228这两个IP,终于解决了。

木马来历


最后说下,这个木马是怎么进来的呢,查了一下原来是利用Redis端口漏洞进来的,它可以对未授权访问redis的服务器登录,定时下载并执行脚本,脚本下载imWBR1和ddg文件并运行,imWBR1挖矿,ddg进行系统监控、远程调用、内网传播等。所以除了执行上述操作,还要把未授权的redis服务设置密码,修改端口号等,防止再次被入侵。

参考文章: 1、清除wnTKYg 这个挖矿工木马的过程讲述 2、比特币挖矿木马Ddg分析

【 转载请注明出处——胡玉洋《记一次服务器被挖矿木马攻击的经历》】

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CRPER折腾记

一篇不大靠谱的nginx 1.11.10配置文件

网站是前后端分离,前端打包站点部署需要自力更生,为了避免跨域问题. 选择了nginx这个知名的反向代理服务器. 这里不探究安装这种问题。。。

9620
来自专栏安恒信息

安全漏洞公告

1 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞发布时间:2014-04-07漏洞编号:CVE(C...

38860
来自专栏华仔的技术笔记

Mac端接入qyb矿池的安装说明

31230
来自专栏calvin

jira webhook 事件触发并程序代码调用jenkins接口触发构建操作

开发管理工具触发站点构建事件,事件处理中需要调用Jenkins接口开始构建动作。 我的应用场景: 使用jira作为管理工具,在jira中创建自定义的工作流来...

91930
来自专栏FreeBuf

经验分享 | Burpsuite抓取非HTTP流量

使用Burp对安卓应用进行渗透测试的过程中,有时候会遇到某些流量无法拦截的情况,这些流量可能不是HTTP协议的,或者是“比较特殊”的HTTP协议(以下统称非HT...

1.1K100
来自专栏Hongten

python开发_email_读取邮件头信息

===========================================

73610
来自专栏数据派THU

教程 | 手把手教你在本地构建Nervos AppChain全家桶

本文依据博文教程以及Nervos AppChain官方文档,带你搭建一个Dapp。

18920
来自专栏向治洪

认识Kubernates(K8S)

在后端开发中,在介绍Jenkins的可伸缩部署方式上,主要有两种方式:一种是基于Docker(或者docker-swarm 集群)的部署方式,另外一种是基于ku...

87980
来自专栏安全领域

物联网 MQTT 服务质量级别

原文地址:https://dzone.com/articles/internet-things-mqtt-quality

69470
来自专栏FreeBuf

漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)

? FreeBuf上次曝Struts 2的漏洞已经是半年多以前的事情了。 这次的漏洞又是个RCE远程代码执行漏洞。简单来说,基于Jakarta Multipa...

23280

扫码关注云+社区

领取腾讯云代金券