今天同事过来找到我说服务器被人挖矿了。。然后发截图给我看
6个redis
病毒
redis容器
这台机子因为是我自己的测试机子一般也没有在意,之前部署过rancher一些服务,
所以有redis我并没有觉得是从容器运行这个挖矿服务的
我先用指令top,查看挖矿服务的PID是多少,接着我通过已知PID查看该进程详细信息,发现是10月份就已经在运行了:
$top
$ll /proc/PID/exe
image.png
本来我以为是做的软链接目录结构,我通过查询这些目录发现并没有这些目录,
所以我确定是通过容器在运行该xmrig病毒,我也尝试用
$kill -9 PID 删除该线程,我发现会自动重启
所以基本上可以确定和我当初搭建rancher有关系,可能被破解了,
然后通过镜像运行该挖矿容器。我果断暂停所有容器服务,xmrig病毒就这样完了。
总结还是对外服务设置安全系数不够高,密码也过于简单。很容易拦截下来破解。服务器硬件防火墙还是起到作用了,遇到这种通过rancher破解登录的,还需要在做进一步加密。
今天同事过来找到我说服务器被人挖矿了。。然后发截图给我看
1 xmrig-nvidia 简介 xmrig-nvidia 是Monero (XMR) 的nvidia显卡的专属...
自从比特币火起来以后,运维和安全同学就经常受到挖矿病毒的骚扰,如果有人说机器cpu被莫名其妙的程序占用百分之八十以...
首先,先简单介绍一下,什么是xmrig-proxy? Xmrig-proxy(矿工代理池)是在矿工和矿池之间增加的...
以此篇Blog纪念服务器第一次被hack,加强安全意识(不过整个排查过程挺好玩的). 经过 Nov 18, 201...
对于挖矿病毒,我们如何发现它呢?其实有个很显然的问题,挖矿病毒会超级占用cpu,当你发现你的服务器变的很卡的时候,...
本文旨在对SMB挖矿病毒传播机制做分析。 网络中的计算机出现由SMB漏洞传播的挖矿病毒,基于目前黑客技术上流行的非...
第一次 亲历挖矿病毒 感染服务器
查看所有外部连接 正在连接的,已经关闭连接的 如果发现有连接异常IP找到相关进程 查询进程 通过netstat找到...
首先确保scrapyd没有对外网0.0.0.0开放可以检查阿里云安全组还有scrapyd包所在目录的配置文件一般在...
本文标题:挖矿病毒xmrig
本文链接:https://www.haomeiwen.com/subject/fsixlqtx.html
网友评论