症状:cup占用率飙高 原因:这次入侵是由于redis没有设置用户名密码,没有限制访问ip导致 解决方法: ps -eopcpu,args –sort=%cpu|head 找到飙高的程序是minerd...rm -rf /opt/minerd TOP查看minerd的pid kill -s 9 pid(pid的值每个服务器不同) rm -rf /var/spool/cron/crontabs
至此我们就能够成功获取192.168.82.6的root访问权限,接下来就该minerd登场了。minerd是一个比特币挖矿程序,能够运行在服务器上并消耗CPU资源。...安装成功之后,将会在目录下生成可执行程序minerd,执行minerd -h,输出以下内容表示安装成功。 ?...但是当发现minerd进程运行消耗CPU时,可以将该进程kill掉,如何保证minerd进程被kill之后仍能继续启动执行呢?这里介绍两种方式,一种是通过定时任务的方式,一种是通过服务的方式。...该服务能够持续监测minerd是否在运行,如果没有在运行就会运行minerd;服务也可以做成开机自启动。...该服务执行的内容如下,该服务是判断目标服务器的path环境变量配置的目录是否有minerd,如果存在则不处理,如果不存在可以将其他文件夹下的minerd复制到该目录下,然后判断minerd程序是否在执行
服务器出现异常,完全无法访问,ssh登陆都极其缓慢 解决过程 top 查看系统状态,发现 load average 平均负载值非常高,再看排名第一的进程,是一个不认识的进程名:minerd 感觉是被入侵了...,上网搜了下minerd是什么东西,是个挖矿程序,看来的确被入侵了,被抓来当矿工了 查看进程信息 ps -ef | grep minerd 是tmp下的一个文件 马上执行 kill 杀掉这个进程...,并删除对应文件 再次 top 命令查看,资源占用恢复正常 因为木马有自我改名、自我复制、自动运行的能力,担心还会有问题,就继续观察 果然过了一段时间后,资源又被占满,这次就不是 minerd 进程了
删除恶意定时任务 常见定时任务文件位置 cd /var/spool/cron/ 位置2 cd /etc/cron.d 挖矿恶意程序 挖矿程序 ps aux | grep minerd 查找位置 ps -...ef|grep minerd 查找 find / -name minerd cd /var/tmp/ 查看所有的服务 chkconfig --list 关闭访问挖矿服务器的访问 iptables -A...INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 删除进程 pkill minerd
cblRWuoCc.so 文件的主要功能是下载执行cpuminer,其实这是由一条硬编码的shell命令执行的,如下图所示: 下载的文件为minerd64_s,存储在/tmp/m目录下。...IoC INAebsGB.so 349d84b3b176bbc9834230351ef3bc2a cblRWuoCc.so 2009af3fed2a4704c224694dfc4b31dc minerd64
(如 /tmp/Circle_MI.png, /opt/minerd, /root/.mcfg,/root/.daemond, /tmp/kworker34, /root/.httpd等及 ~/.ssh...(如pkill minerd,pkill/root/.mcfg, pkill /tmp/kworker34, pkill /root/.daemond, pkill /tmp/kworker34, pkill
执行top,查看了一会,没有再发现minerd 进程了。 3,解决步骤 1. 修复 redis 的后门, 1.
crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi pkill -f BI5zj pkill -f askdljlqw pkill -f minerd...f pro.sh pkill -f polkitd pkill -f acpid pkill -f icb5o pkill -f nopxi pkill -f irqbalanc1 pkill -f minerd...kill -9 ps auxf|grep -v grep|grep "xmr" | awk '{print $2}'|xargs kill -9 ps auxf|grep -v grep|grep "minerd
券商Guggenheim Partner分析师Scott Minerd形容周三美股的表示警告称美国经济正在全力加息以控制通胀与劳动力市场过热,它正在接近2020年的遥远财政困境。
04 参考资料 1、CentOS7安装redis被AnXqV挖矿程序入侵 2、阿里云服务器被挖矿minerd入侵的解决办法 3、Google基础设施安全设计概述翻译和导读
SpoolerSubSystem Service OracleProducts Reporter Updateservice for products gm ngm 进程名: msinfo xmrig* minerd
f jweri pkill -f lx26 pkill -f NXLAi pkill -f BI5zj pkill -f askdljlqw pkill -f minerd...polkitd pkill -f acpid pkill -f icb5o pkill -f nopxi pkill -f irqbalanc1 pkill -f minerd
/local/bin/pnscan pkill -f /usr/bin/biden1 killall /usr/bin/biden1 killall r killall trace pkill -f minerd...killall minerd pkill -f xm64 killall xm64 pkill -f sysdm killall sysdm pkill -f syst3md killall syst3md
目前比较主流的案例:yam2 minerd 挖矿程序,还有在多次应急事件中发现大量的watch-smartd挖矿木马。 2.没有设置密码认证(一般为空),可以免密码远程登录redis服务。
crypto-pool pkill -f minexmr pkill -f XJnRj pkill -f NXLAi pkill -f BI5zj pkill -f askdljlqw pkill -f minerd...f pro.sh pkill -f polkitd pkill -f acpid pkill -f icb5o pkill -f nopxi pkill -f irqbalanc1 pkill -f minerd
Powershell代码 与EternalBlue漏洞利用使用外部文件作为他们的shellcode不同,EternalSynergy 漏洞利用有内置shellcode,且试图从另一个服务器下载并执行一个名为“minerd_n.ps2
字段类型 字段描述 备注 sqlno int SQL序号 SQL在事务中的编号 xid bigint 事务号 topxid bigint 父事务号 子事务的父事务号 sqlkind int SQL类型 minerd
影响最大的 minerd 出自 https://github.com/pooler/cpuminer;Windows上的 cpuminer-multi.exe 矿机源于 https://github.com
目前比较主流的案例:yam2 minerd挖矿程序,还有在多次应急事件中发现大量的watch-smartd挖矿牧马,都是通过此种方式进来的。 他们是如何公鸡的呢?
pkill -f pythno pkill -f jweri pkill -f lx26 pkill -f NXLAi pkill -f BI5zj pkill -f askdljlqw pkill -f minerd...f pro.sh pkill -f polkitd pkill -f acpid pkill -f icb5o pkill -f nopxi pkill -f irqbalanc1 pkill -f minerd
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
