攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。 tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序 这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。 其中 Lemon_Duck 尤为猖獗,该团伙之前一直专注利用脆弱的微软 Exchange 服务器,以及通过 SSH 暴力攻击针对 Linux 机器、易受 SMBGhost 影响的 Windows 系统和运行 Redis 和 Hadoop 实例的服务器。 根据 Crowdstrike 发布的报告来看,目前正在进行的 Lemon_Duck 挖矿活动,背后的威胁攻击者正在将其钱包隐藏在代理池后面。 在最初被感染机器被设置为挖矿后,Lemon_Duck 试图通过利用文件系统上的 SSH 密钥进行横向移动,如果能够成功的话,攻击者就用可以重复同样的感染过程。
手把手教您从零开始搭建网站/Minecraft游戏服务器/图床/网盘、部署应用、开发测试、GPU渲染训练等,畅享云端新生活。
早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%! 1.立即登录该服务器查看CPU top10 ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head 发现 有一个yam开头的进程CPU 打开看一下里面的内容发现是一个挖矿机。 ? 3.查看下登录日志 last ?
再次经历了服务器中恶意程序,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问 web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 . 这个时候我直接就查看了主机得运行资源 #查看运行内存 free -h #查看硬盘内存 df -h #查看CPU使用率 top 从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器
再次经历了服务器中恶意程序,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问 web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 . 从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器、程序运行不久会被kill。
GitHub 有时比 Google 还有用,如果你不懂如何使用它来挖矿,那你不算一名合格的程序员。 笔者做前端开发这些年,几乎每天都会刷 GitHub,也算是 GitHub 的重度使用者了,其中也掌握了一定的技巧,由此写一下我是如何使用它来挖矿的 ! 笔者博客地址:GitHub[1]。
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞 ,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马, 关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 ? 挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门 攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP
事情起因:同事解决服务器中挖矿病毒的过程 可以看到,病毒的主要起因是利用了Linux预加载型恶意动态链接库的后门,关于Linux预加载的知识可以参考这一篇文章:警惕利用Linux预加载型恶意动态链接库的后门 access函数的地方非常多而且非常频繁,因此一旦病毒注入成功,那么脚本添加过程就会非常频繁,就会出现删除 crontab 脚本但是过个几秒钟又出现的现象,而删除 crontab 脚本然后立马锁定文件确实能起到一定的抑制病毒的作用 仅删除 crontab 脚本并不能起到作用,然后因为病毒的自我保护措施,覆盖了几乎所有能操作到病毒的命令,所以也很难通过系统命令来清除病毒链接库。
geth –port 33333 –rpc –rpcapi eth –rpcaddr 192.168.10.176 –rpcport 8888 console 2 启动ethminer(挖矿软件 127.0.0.1:1234 –opencl-device 0 –opencl-platform 1 注意:只需要执行以上两步操作,不要添加其他参数或者启动后执行miner.start()操作 -G:启动GPU挖矿 (通过opencl调用GPU挖矿) -P:geth地址 –opencl-device x :x代表启动的Gpu数量,默认全部启动 注意:启动GPU挖矿需要geth节点设置为挖矿节点才可以启动挖矿,并且geth 的disk IO速度应该足够快,否则数据同步速度不能跟上主网区块产生速度,也无法挖矿.
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞 ,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马, 关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门 攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP
排查过程 我以 150+ 的手速立即打开了服务器,看到 Tomcat 挂了,然后顺其自然的重启,启动过程中直接被 killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。 好尴尬,但是心思细腻的我早知道没这么简单,肯定只是伪装,crul 过去是下面的脚本,过程就是在挖矿: ? 有兴趣的同学想查看以上完整源代码,命令行运行下面指令(不分操作系统,方便安全无污染): ? 等等,这远远不够,考虑到能被拿去挖矿的前提下你的服务器都已经被黑客入侵了,修复漏洞才对,不然你杀掉进程删掉文件后,黑客后门进来 history 一敲,都知道你做了啥修复手段。 遇到挖矿木马最好的解决方式:将主机镜像、找出病毒木马、分析入侵原因、检查业务程序、重装系统、修复漏洞、再重新部署系统。
服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。 17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。 网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。 ? 面临更加严峻的安全挑战,公司应增加对服务器安全的重视度和建设力度。挖矿木马作为现阶段服务器面临的最普遍的危害之一,是检测企业安全防御机制、环境和技术能力水平的试金石。 如何有效应对这种安全危害,在此过程中促进公司网络安全能力的提高,必须变成企业安全管理者和网络安全厂商的共同目标,快过年了,被挖矿木马植入的服务器越来越多,导致很多网站或APP无法正常运行,如果想要彻底解决的话建议到服务器安全公司来处理解决
腾讯主机安全(CWP)利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解阻断、异常登录审计、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
网站备案
对象存储
云直播
实时音视频
