售前电话:0592-5325980    400-0592-900售后电话:0592-7293295
当前位置:短信平台 > 资讯中心 > 常见问题 >

阿里云服务器被挖矿程序攻击入侵的完美解决办法

发布日期:2020-09-25 12:30来源:卡洛思科技作者:karlos浏览量:

此方法适用于发现阿里云服务器特别卡,cpu负载爆满的情况。

1.重启机器查看进程

# top

 

阿里云服务器,阿里云服务器挖矿程序攻击

 

找出CPU占有率高的你不认识的进程,我的是这样的

docker-cache -B --donate-level 1 -o pool.minexmr.com:443 -u 85X7JcgPpwQdZXaK2TKJb8baQAXc3zBsnW7+masscan 206.94.0.0/16 -p 2375 -oL - --max-rate 360

干掉它

kill -9 4213 5161

 

2.查看阿里云监控报警日志

 

该告警由如下引擎检测发现:文件路径:/proc/12878/root/tmp/kdevtmpfsi恶意文件md5:1692020039cb723c351aa1a6a9b03fdc进程id:19.875描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。具体详情可查看帮助:https://helpcdn.aliyun.com/knowledge_detail/41206.htmlContainerName:distracted_coriContainerId:c5607dd23d6bd7fa431a54573342f60bb7efc9dfabd7ac42ef9d2c4feb20de74ContainerInnerPath:/tmp/kdevtmpfsi

 

原因是我之前开放docker remote api 2375 端口,导致被黑客利用, 导致下载挖矿程序和扫描程序

 

3.查找docker 镜像

docker ps -a

 

阿里云服务器,阿里云服务器挖矿程序攻击

 

这里面可以镜像ubuntu,在看下镜像id 可以报警的一致,

c5607dd23d6b        ubuntu    对应挖矿的镜像

22b8359879f1        ubuntu:18.04  对应的是 扫描程序

 

接下来我们干掉这2个容器

[root@rancher tmp]# docker rm c5607dd23d6bc5607dd23d6b[root@rancher tmp]# docker rm 22b8359879f122b8359879f1

 

然后我们在干掉这2个镜像

[root@rancher tmp]# docker rmi 4e5021d210f6Untagged: ubuntu:18.04Untagged: ubuntu@sha256:bec5a2727be7fff3d308193cfde3491f8fba1a2ba392b7546b43a051853a341dDeleted: sha256:4e5021d210f65ebe915670c7089120120bc0a303b90208592851708c1b8c04bdDeleted: sha256:1d9112746e9d86157c23e426ce87cc2d7bced0ba2ec8ddbdfbcc3093e0769472Deleted: sha256:efcf4a93c18b5d01aa8e10a2e3b7e2b2eef0378336456d8653e2d123d6232c1eDeleted: sha256:1e1aa31289fdca521c403edd6b37317bf0a349a941c7f19b6d9d311f59347502Deleted: sha256:c8be1b8f4d60d99c281fc2db75e0f56df42a83ad2f0b091621ce19357e19d853

 

查看是否删除

docker images

 

重启服务

[root@rancher tmp]# service docker restartRedirecting to /bin/systemctl restart docker.service

 

产看是否还有可疑进程

[root@rancher tmp]# ps -ef|grep masscan*root 6354 32056 0 11:28 pts/1 00:00:00 grep --color=auto masscan*root 26255 1302 0 10:25 pts/0 00:00:00 grep --color=auto masscan*[root@rancher tmp]# [root@rancher tmp]# ps -ef|grep pool.minexmr.com*root 7593 1302 0 09:22 pts/0 00:00:00 grep --color=auto -r pool.minexmr.comroot 8189 1302 0 09:24 pts/0 00:00:00 grep --color=auto -r pool.minexmr.comroot 8804 32056 0 11:29 pts/1 00:00:00 grep --color=auto pool.minexmr.com*

 

发现可疑进程被干掉,搞定收工




热门资讯

短信群发真实的到达率/成功率是多少?

短信行业在经过连续三年的315曝光之后今年终于有了喘息的机会,本来已经逐...

什么是报备签名?

签名是运营商要求的一种格式,需要提供公司全称和使用签名来做 备案信息,...

群发出去的短信真的有大范围辐射营销效果吗?

短信群发营销被广泛应用于:房地产、汽车类、培训教育机构、游戏、金融财险...

大神支招:如何有效防止恶意刷取短信验证码?

一、短信验证码运作机制 1. 验证码加密发送 在APP中点击发送验证码,向后台...

阿里云服务器购买3年套餐划算吗,能不能随时扩容?

如果你的网站、业务打算长期做下去,那么直接买三年付阿里云服务器性价比最...

群发短信广告营销效果不理想?短信发送人群你选对了吗?

短信广告效果怎么样?这是不少客户做营销时经常会考虑的一个问题。小编也不...

吸引顾客的新店开业短信邀约话术怎么编辑?

新店开业需要的是人气,短信平台以其自身发送速度快,辐射范围广等优点,能...

群发短信时接收时间很长,是不是延时?

群发短信时接收时间很长,是不是延时? 因为平台的用户比较多,周末和节假日...

厦门卡洛思客服-400-888-5912

我们公司的背景优势:短信公司【10年累积】,上万用户信赖,独享三网合一106短信通道,省心又省钱,【做让用户心安的短信服务商】

我们的优质服务:注册即可享【免费试用】、一对一在线服务【服务有保障】、网关平台1069直连短信通道【发送快人一步】、短信价格实惠【节约成本】、我们做的不仅仅是短信群发,您的短信平台、短信接口使用将由我们的技术支持一路相随

我们公司的经营范围覆盖各省市,业务范围拓展到厦门、福州、漳州、上海、北京、深圳、广州、郑州、天津、青岛、大连、济南、长沙、南昌、廊坊、重庆、合肥、西安、成都、杭州、宁波、武汉、南京、太原等地区,为客户提供正规106短信平台、群发短信软件、短信接口、手机短信验证码、会员通知、彩信群发等服务。

我们公司的经营范围覆盖各省市,为客户提供正规106短信平台、群发短信软件、短信接口、手机短信验证码、会员通知、彩信群发、短信公众号等服务。