服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法

时间  2020-04-18
标签 服务器 出现 入侵 事件 进程 pool.minexmr.com pool minexmr com 解决办法 栏目 系统安全 繁體版
原文   原文链接

最近发现云服务器特别卡,cpu负载爆满,因而重启完机器,立马登上去查看进程html


1.查看进程docker

# top复制代码

找出CPU占有率高的你不认识的进程,个人是这样的ubuntu

docker-cache -B --donate-level 1 -o pool.minexmr.com:443 -u 85X7JcgPpwQdZXaK2TKJb8baQAXc3zBsnW7+
masscan 206.94.0.0/16 -p 2375 -oL - --max-rate 360复制代码

干掉它api

kill -9 4213 5161复制代码

2.查看云监控报警日志bash

该告警由以下引擎检测发现:文件路径:/proc/12878/root/tmp/kdevtmpfsi
恶意文件md5:1692020039cb723c351aa1a6a9b03fdc进程id:19,875
描述:一般黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或假装成系统程序以躲避检测。若是发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。
具体详情可查看帮助:https://helpcdn.aliyun.com/knowledge_detail/41206.htmlContainerName:distracted_coriContainerId:c5607dd23d6bd7fa431a54573342f60bb7efc9dfabd7ac42ef9d2c4feb20de74
ContainerInnerPath:/tmp/kdevtmpfsi复制代码

缘由是我以前开放docker remote api 2375 端口,致使被黑客利用, 致使下载挖矿程序和扫描程序服务器

3.查找docker 镜像app

docker ps -a复制代码

这里面能够镜像ubuntu,在看下镜像id 能够报警的一致,
ui

c5607dd23d6b ubuntu 对应挖矿的镜像spa

22b8359879f1 ubuntu:18.04 对应的是 扫描程序3d


接下来咱们干掉这2个容器

[root@rancher tmp]# docker rm c5607dd23d6bc5607dd23d6b
[root@rancher tmp]# docker rm 22b8359879f122b8359879f1复制代码

而后咱们在干掉这2个镜像

[root@rancher tmp]# docker rmi 4e5021d210f6
Untagged: ubuntu:18.04
Untagged: ubuntu@sha256:bec5a2727be7fff3d308193cfde3491f8fba1a2ba392b7546b43a051853a341d
Deleted: sha256:4e5021d210f65ebe915670c7089120120bc0a303b90208592851708c1b8c04bd
Deleted: sha256:1d9112746e9d86157c23e426ce87cc2d7bced0ba2ec8ddbdfbcc3093e0769472
Deleted: sha256:efcf4a93c18b5d01aa8e10a2e3b7e2b2eef0378336456d8653e2d123d6232c1e
Deleted: sha256:1e1aa31289fdca521c403edd6b37317bf0a349a941c7f19b6d9d311f59347502
Deleted: sha256:c8be1b8f4d60d99c281fc2db75e0f56df42a83ad2f0b091621ce19357e19d853复制代码

查看是否删除

docker images复制代码

重启服务

[root@rancher tmp]# service docker restart
Redirecting to /bin/systemctl restart docker.service复制代码

产看是否还有可疑进程

[root@rancher tmp]# ps -ef|grep masscan*root 6354 32056 0 11:28 
pts/1    00:00:00 grep --color=auto masscan*root     26255  1302  0 10:25 
pts/0    00:00:00 grep --color=auto masscan*
[root@rancher tmp]# 
[root@rancher tmp]# ps -ef|grep pool.minexmr.com*root 7593 1302 0 09:22 
pts/0    00:00:00 grep --color=auto -r pool.minexmr.comroot      8189  1302  0 09:24
pts/0    00:00:00 grep --color=auto -r pool.minexmr.comroot      8804 32056  0 11:29 
pts/1    00:00:00 grep --color=auto pool.minexmr.com*复制代码

发现可疑进程被干掉,搞定收工

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程