『壹』 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
『贰』 mac中了挖矿木马,该怎么清除啊
卡巴斯基或者avast的Mac版下载下来全盘扫描,上面两回复绝对是无脑推广
『叁』 服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马
MongoDB库中的数据莫名其妙没有了,发觉如下信息:
1、 top -d 5命令 ,查看系统负载情况、是否有未知进程,发现一个名为kdevtmpfsi的进程,经科普它是一个挖矿程序,会占用服务器高额的CPU、内存资源。如图,CPU占用率高达788.7%,而且是yarn用户下:
2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径:/tmp/kdevtmpfsi
3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息(此时我的服务器并没有开启yarn服务,如果有yarn的相关进程则可判断是攻击者开启的进程),发现另外还有个kinsing进程,经科普kinsing进程是kdevtmpfsi的守护进程:
4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip,判断是kdevtmpfsi的发出者:
5、经查询该ip的所在国家是俄罗斯:
6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除:
7、 cd /tmp 进入相关目录:
8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序:
9、** kill -9 40422**杀掉kdevtmpfsi进程:
10、发现并没杀掉所有kdevtmpfsi进程,再次查找yarn的相关进程(因为之前已确认病毒是在yarn下),果真还有kdevtmpfsi进程存在:
11、用命令 批量杀掉 相关进程:
12、删除kinsing文件:
13、现在,已经把挖矿程序及相关进程删除掉了,但是还有两处没做处理:
14、 crontab -l 命令先看看crontab的定时任务列表吧:
15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh :
16、新增 定时任务 并删除攻击者的挖矿定时任务:
17、 crontab -l命令 查看现在只有杀进程的定时任务了:
18、禁止黑客的IP地址。
最初安装MongoDB时,并未设置密码认证,存在漏洞,导致黑客通过漏洞攻击服务器,并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的,治标不治本,应该定时删除病毒进程,禁止攻击者IP,重新安装系统或相关软件。
经过几天的观察,服务器运行正常,再没有被黑客攻击成功。
『肆』 mac突然系统占了300多G内存
磁盘分区的时候没看吧,恢复磁盘重新安装windows 系统,
『伍』 苹果电脑如何看自己有没有被人当挖矿机
开始运行CMD回车再输入netstat -ano回车再输入tasklist回车
开远程的IP地址是不是你的电脑上的进程
不是就是挖掘机
判断是否为矿卡:
1:通过肉眼来识别这个硬件究竟是不是矿卡 ,其实通过其他方式也可以测出,就比如说你到电脑里面去测矿卡的超频性能,去跟官方的数据进行对比,测矿卡供电的稳定性,也可以测出来是不是矿卡。
2:第一点是先看矿卡上面有没有什么特别脏特别多的灰尘,各种油渍,如果没有的话那证明卖家可能做了比较好的处理,或者不是矿卡。如果矿卡非常的脏的话,十有八九就是矿卡,那我们就要进行下一步的操作,就是拆开矿卡。
3:我们应该注意到是否有发票且带保修,保修基本是在全国各地的保修点都可以保修的,这种才不是矿卡。