服务器是怎么被放上挖矿程序的?

2019-11-22 15:33:02 +08:00
 Graves
前两天生产有两台服务器被放了挖矿脚本,用 top 看,没发现有 100%的进程,但是看到 load average 很高,9 点多,平时基本都是零点几,因为没有系统的学习 linux,去网上搜了一段命令,才看到看到消耗 cpu 的进程,后面才 kill 进程,找到脚本文件,删除了定时任务
后面有点细思极恐了,是不是 root 密码泄漏了,赶紧改了密码,还好数据库没出问题,但还是很慌,有没有这种防范排查的教程呀,或者说一些安全操作生产服务器的规范.
2835 次点击
所在节点    问与答
13 条回复
Graves
2019-11-22 15:34:09 +08:00
ps -aux --sort=-pcpu|head -10
这个命令查看消耗 cpu 前十的进程
ddosakura
2019-11-22 15:37:03 +08:00
禁用密码登录,用密钥
Graves
2019-11-22 15:37:24 +08:00
巧合的是,我搜到的那篇文章,挖矿脚本的位置,crontab 的内容一模一样,手动狗头....我就照着做处理掉了,cpu 负载也下来了
Graves
2019-11-22 15:43:01 +08:00
自己也有思考这个问题,需要搞个公司内网的跳板机,然后需要登陆的机子密钥都放跳板机上面,要链接服务器就通过跳板机免密登陆,但是有个习惯,就是通过 filezilla 拉去文件,可视化的工具比较方便,免密登陆好像就用不了 filezilla
dier
2019-11-22 15:59:32 +08:00
可视化上传下载文件可以用 winSCP,支持密钥
opengps
2019-11-22 16:03:36 +08:00
多数挖矿程序是 445 端口漏洞,当然也有自己系统漏洞传入木马,让后下载启动挖矿的例子
建议重点排查下运维层面的入方向放行端口,网站接口的文件上传接口
woyao
2019-11-22 16:05:04 +08:00
可能 top 已经被替换了。
msg7086
2019-11-22 16:30:42 +08:00
如果 root 被攻破了,那整个系统就不安全了,建议重装。
FS1P7dJz
2019-11-22 16:50:15 +08:00
我怀疑你们 22 都没改
直接被批量扫描注入

另外 top 之类当然可以被替换
高明的挖矿都不会让你服务器明显异常,只跑在低负载时间段
zpfhbyx
2019-11-22 17:29:21 +08:00
jumpserver2 ..
Graves
2019-11-22 18:36:57 +08:00
@woyao 应该没有替换,看了操作系统文件的路径

@msg7086 成本太大了,只能暂时观察
@FS1P7dJz 22 没改,但是密码还是很复杂了,想不到这么容易攻破,也不确定是不是被攻破,这个挖矿很有意思,但是网络监控里面看到有大量请求外网的 ip,我一登陆上去他会停止挖矿,netstat 就看不到链接了



其实主要想问有没有这类的教程或者防范检测资料,想学习一下,不然只能于是不决,重装系统了.
FS1P7dJz
2019-11-23 08:41:32 +08:00
如果你们没有专门的运维人员
那么用类似安全狗这样的傻瓜工具会比自己折腾好

另外,在对外服务上的漏洞可能性更大
wzw
2019-11-23 09:33:10 +08:00
好奇,服务器能挖什么矿

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/622155

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX