今天一早過來，運(yùn)維同事發(fā)現(xiàn)服務(wù)器的負(fù)載有點(diǎn)異常，打開top一看，發(fā)現(xiàn)有個進(jìn)程一直占用很高的cpu

在opt目錄下發(fā)現(xiàn)有個異常文件，是個命令文件minerd

在確定跟項(xiàng)目不相關(guān)的情況下判斷是個木馬程序，果斷kill掉進(jìn)程，然后刪除/opt下minerd文件

本想這樣可以解決，誰想不到15秒時間，又自動啟動起來，而且文件又自動創(chuàng)建，這個讓我想起了crontab的定時器，果然運(yùn)維同事一查確實(shí)定時器存在一條：，果斷刪除處理。再殺進(jìn)程，再刪文件；然并卵，依舊起來；

百度資料說該根源可能是通過jenkins開放外網(wǎng)被黑客入侵導(dǎo)致，接著就把jenkins服務(wù)停止，把外網(wǎng)端口關(guān)閉，順道把服務(wù)器的所有用戶密碼及ssh改了一遍，再把minerd進(jìn)程殺掉，刪文件，但是還是不行。

繼續(xù)百度各種資料，檢查是否存在其它定時器，在/var/spool/cron/目錄下發(fā)現(xiàn)有個root用戶的定時器文件，以為找到根源了，再次果斷刪除，結(jié)果，還是沒有解決；

后面同事在google搜索到了一個資料，

linux - How can I kill minerd malware on an AWS EC2 instance? - Information Security Stack Exchange

各種文件刪除都不起作用，原來該木馬程序注冊了一個“lady”的服務(wù)，而且還是開機(jī)啟動，起一個這個可愛的名字，誰TMD知道這是一個木馬。

把lady服務(wù)停止，刪除開機(jī)啟動，刪除文件，恢復(fù)正常！

注意：清理完成后請及時安裝防病毒軟件，防止再次挖礦入侵

---2017 02 21 補(bǔ)充

很有網(wǎng)友也遇到跟我同樣的問題，但是木馬程序確實(shí)有點(diǎn)囂張，通過利用redis的免帳號密碼漏洞進(jìn)行入侵

http://blog.jobbole.com/94518/

1. 修復(fù) redis 的后門缺陷

配置bind選項(xiàng), 限定可以連接Redis服務(wù)器的IP, 并修改redis的默認(rèn)端口6379配置AUTH, 設(shè)置密碼, 密碼會以明文方式保存在redis配置文件中.配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權(quán)訪問, 也能夠給攻擊者使用config指令加大難度好消息是Redis作者表示將會開發(fā)”real user”，區(qū)分普通用戶和admin權(quán)限，普通用戶將會被禁止運(yùn)行某些命令，如conf

2. 打開 ~/.ssh/authorized_keys, 刪除你不認(rèn)識的密鑰

3. 刪除用戶列表中陌生的帳號

參考文獻(xiàn)：

 redis未授權(quán)訪問漏洞：Redis未授權(quán)訪問漏洞

到此這篇關(guān)于關(guān)于服務(wù)被挖礦程序minerd入侵解決方法的文章就介紹到這了,更多相關(guān)挖礦程序minerd入侵內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論