[问题已处理]服务器被门罗币挖矿病毒攻击的处理

[问题已处理]服务器被门罗币挖矿病毒攻击的处理

 

收到阿里云报警短信 cpu使用率超过100%

上服务器 查看了一下。

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第1张图片

发现有dev账号启动的进程特别可以   一个是cron  一个是tsm

直接su dev 切换到dev账号

并查看定时任务

 

 

 

 

 

 

 

 

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第2张图片

 

看到这里 比较怀疑是弱密码被爆破了。由于年代久远,服务器里的账号具体做什么用已经不清楚了。

进入路径路面查看

一开始看了下  命令是sync,还比较怀疑,为什么sync命令会导致cpu这么高呢。一看 结果是这里的sync。

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第3张图片

 

全局find了一下tsm,在tmp路径下找到了部分文件。这边把这个文件放在网盘了,供大家研究学习与讨论。

链接:https://pan.baidu.com/s/1h7hecKlWDtbZ4bZcLABWuw

提取码:snoi

复制这段内容后打开百度网盘手机App,操作更方便哦

 

 

 

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第4张图片

 

部分是2进制文件  具体是什么不清楚。

 

生成firefixcatche的文件

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第5张图片

 

这个应该是密码。但是没有在里面找到dev账号。

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第6张图片

 

矿池

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第7张图片

 

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第8张图片

 

 

lib库

 

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第9张图片

 

 

 


 

下载器

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第10张图片

 

这边处理过程是

去除dev账号下的crontab 任务

删除dev账号  进程号用户名就变成id了 还是存在的

删除dev的home路径。

去除/tmp下运行tsm文件夹的执行权限,删除挖矿文件。

通过top排序 杀掉dev用户启动的进程

 

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第11张图片

netstat –natp查看是否存在可以连接  直接杀掉。

看了一下阿里云的云安全中心。dev这个账号在近期被爆破了,赶紧查看别的虚拟机 是否存在这个账号。的确有dev账号 密码是123456,晕倒。但是被攻击的这台dev账号的密码已经被修改过了,一开始怀疑的时候 还测试了一下。

[问题已处理]服务器被门罗币挖矿病毒攻击的处理_第12张图片

最后查到是门罗币,cpu挖矿。可参考下面文档

https://blog.csdn.net/wab719591157/article/details/82717458

https://blog.csdn.net/m0_37313888/article/details/82869939

你可能感兴趣的:([问题已处理]服务器被门罗币挖矿病毒攻击的处理)