大家好,我是考100分的小小码 ,祝大家学习进步,加薪顺利呀。今天说一说服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法「终于解决」,希望您对编程的造诣更进一步.
最近发现云服务器特别卡,cpu负载爆满,于是重启完机器,立马登上去查看进程
1.查看进程
# top
找出CPU占有率高的你不认识的进程,我的是这样的
docker-cache -B --donate-level 1 -o pool.minexmr.com:443 -u 85X7JcgPpwQdZXaK2TKJb8baQAXc3zBsnW7+
masscan 206.94.0.0/16 -p 2375 -oL - --max-rate 360干掉它
kill -9 4213 51612.查看云监控报警日志
该告警由如下引擎检测发现:文件路径:/proc/12878/root/tmp/kdevtmpfsi
恶意文件md5:1692020039cb723c351aa1a6a9b03fdc进程id:19,875
描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。
具体详情可查看帮助:https://helpcdn.aliyun.com/knowledge_detail/41206.htmlContainerName:distracted_coriContainerId:c5607dd23d6bd7fa431a54573342f60bb7efc9dfabd7ac42ef9d2c4feb20de74
ContainerInnerPath:/tmp/kdevtmpfsi原因是我之前开放docker remote api 2375 端口,导致被黑客利用, 导致下载挖矿程序和扫描程序
3.查找docker 镜像
docker ps -a
这里面可以镜像ubuntu,在看下镜像id 可以报警的一致,
c5607dd23d6b ubuntu 对应挖矿的镜像
22b8359879f1 ubuntu:18.04 对应的是 扫描程序
接下来我们干掉这2个容器
[root@rancher tmp]# docker rm c5607dd23d6bc5607dd23d6b
[root@rancher tmp]# docker rm 22b8359879f122b8359879f1然后我们在干掉这2个镜像
[root@rancher tmp]# docker rmi 4e5021d210f6
Untagged: ubuntu:18.04
Untagged: ubuntu@sha256:bec5a2727be7fff3d308193cfde3491f8fba1a2ba392b7546b43a051853a341d
Deleted: sha256:4e5021d210f65ebe915670c7089120120bc0a303b90208592851708c1b8c04bd
Deleted: sha256:1d9112746e9d86157c23e426ce87cc2d7bced0ba2ec8ddbdfbcc3093e0769472
Deleted: sha256:efcf4a93c18b5d01aa8e10a2e3b7e2b2eef0378336456d8653e2d123d6232c1e
Deleted: sha256:1e1aa31289fdca521c403edd6b37317bf0a349a941c7f19b6d9d311f59347502
Deleted: sha256:c8be1b8f4d60d99c281fc2db75e0f56df42a83ad2f0b091621ce19357e19d853查看是否删除
docker images重启服务
[root@rancher tmp]# service docker restart
Redirecting to /bin/systemctl restart docker.service产看是否还有可疑进程
[root@rancher tmp]# ps -ef|grep masscan*root 6354 32056 0 11:28
pts/1 00:00:00 grep --color=auto masscan*root 26255 1302 0 10:25
pts/0 00:00:00 grep --color=auto masscan*
[root@rancher tmp]#
[root@rancher tmp]# ps -ef|grep pool.minexmr.com*root 7593 1302 0 09:22
pts/0 00:00:00 grep --color=auto -r pool.minexmr.comroot 8189 1302 0 09:24
pts/0 00:00:00 grep --color=auto -r pool.minexmr.comroot 8804 32056 0 11:29
pts/1 00:00:00 grep --color=auto pool.minexmr.com*发现可疑进程被干掉,搞定收工
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
转载请注明出处: https://daima100.com/13294.html
