服務器出現入侵事件:挖礦進程——pool.minexmr.com的解決辦法

時間  2020-04-18
標籤 服務器 出現 入侵 事件 進程 pool.minexmr.com pool minexmr com 解決辦法 欄目 系統安全 简体版
原文   原文鏈接

最近發現雲服務器特別卡,cpu負載爆滿,因而重啓完機器,立馬登上去查看進程html


1.查看進程docker

# top複製代碼

找出CPU佔有率高的你不認識的進程,個人是這樣的ubuntu

docker-cache -B --donate-level 1 -o pool.minexmr.com:443 -u 85X7JcgPpwQdZXaK2TKJb8baQAXc3zBsnW7+
masscan 206.94.0.0/16 -p 2375 -oL - --max-rate 360複製代碼

幹掉它api

kill -9 4213 5161複製代碼

2.查看雲監控報警日誌bash

該告警由以下引擎檢測發現:文件路徑:/proc/12878/root/tmp/kdevtmpfsi
惡意文件md5:1692020039cb723c351aa1a6a9b03fdc進程id:19,875
描述:一般黑客入侵後會植入挖礦程序賺取收益,該類程序佔用CPU等資源,影響用戶正常業務,危害較大。且該程序可能還存在自刪除行爲,或假裝成系統程序以躲避檢測。若是發現該文件不存在,請檢查是否存在可疑進程、定時任務或啓動項。
具體詳情可查看幫助:https://helpcdn.aliyun.com/knowledge_detail/41206.htmlContainerName:distracted_coriContainerId:c5607dd23d6bd7fa431a54573342f60bb7efc9dfabd7ac42ef9d2c4feb20de74
ContainerInnerPath:/tmp/kdevtmpfsi複製代碼

緣由是我以前開放docker remote api 2375 端口,致使被黑客利用, 致使下載挖礦程序和掃描程序服務器

3.查找docker 鏡像app

docker ps -a複製代碼

這裏面能夠鏡像ubuntu,在看下鏡像id 能夠報警的一致,
ui

c5607dd23d6b ubuntu 對應挖礦的鏡像spa

22b8359879f1 ubuntu:18.04 對應的是 掃描程序3d


接下來咱們幹掉這2個容器

[root@rancher tmp]# docker rm c5607dd23d6bc5607dd23d6b
[root@rancher tmp]# docker rm 22b8359879f122b8359879f1複製代碼

而後咱們在幹掉這2個鏡像

[root@rancher tmp]# docker rmi 4e5021d210f6
Untagged: ubuntu:18.04
Untagged: ubuntu@sha256:bec5a2727be7fff3d308193cfde3491f8fba1a2ba392b7546b43a051853a341d
Deleted: sha256:4e5021d210f65ebe915670c7089120120bc0a303b90208592851708c1b8c04bd
Deleted: sha256:1d9112746e9d86157c23e426ce87cc2d7bced0ba2ec8ddbdfbcc3093e0769472
Deleted: sha256:efcf4a93c18b5d01aa8e10a2e3b7e2b2eef0378336456d8653e2d123d6232c1e
Deleted: sha256:1e1aa31289fdca521c403edd6b37317bf0a349a941c7f19b6d9d311f59347502
Deleted: sha256:c8be1b8f4d60d99c281fc2db75e0f56df42a83ad2f0b091621ce19357e19d853複製代碼

查看是否刪除

docker images複製代碼

重啓服務

[root@rancher tmp]# service docker restart
Redirecting to /bin/systemctl restart docker.service複製代碼

產看是否還有可疑進程

[root@rancher tmp]# ps -ef|grep masscan*root 6354 32056 0 11:28 
pts/1    00:00:00 grep --color=auto masscan*root     26255  1302  0 10:25 
pts/0    00:00:00 grep --color=auto masscan*
[root@rancher tmp]# 
[root@rancher tmp]# ps -ef|grep pool.minexmr.com*root 7593 1302 0 09:22 
pts/0    00:00:00 grep --color=auto -r pool.minexmr.comroot      8189  1302  0 09:24
pts/0    00:00:00 grep --color=auto -r pool.minexmr.comroot      8804 32056  0 11:29 
pts/1    00:00:00 grep --color=auto pool.minexmr.com*複製代碼

發現可疑進程被幹掉,搞定收工

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程