服务器被挖矿程序抓成肉鸡了,大神们,求支招
Tofloor
poster avatar
pow
deepin
2018-01-03 18:18
Author
公司的几台linux服务器最近发现cpu进程占用非常高,经过查询,发现是一个名叫java的进程。实际本机并未安装java的相关程序。可能是别的东西伪装成了java的相关文件。在防火墙上查看,发现服务器一直持续的向外发送数据包,统一特点是均链接对方的80端口。本地文件搜索查找,定位出了risktool.linux.lv这样的文件。google查询得知,是一种挖矿软件植入的病毒。换句话说,我们的服务器已经成了肉鸡了。
大神们,有没有人遇到过类似的情况,或者解决过,请给支个招,怎么才能彻底查杀清楚掉类似的程序文件。或者有比较好的工具,欢迎推荐。

Reply Favorite View the author
All Replies
3 / 3
To page
avatar
136******29
deepin
2018-01-04 17:05
#41
广撒网,总是能抓到肉鸡,做好防护才是王道
Reply View the author
avatar
pow
deepin
2018-01-04 17:18
#42
https://bbs.deepin.org/post/151059
虽然你已经解决了,我还是特意注册了一个帐号来回来这个问题。
处理步骤,以centos为例:
1、查看/etc/rc.lo ...

谢谢您的回答。
目前问题已经解决,基本解决思路跟您列举的步骤一致。
已在防火墙上双向deny了45.77.106.29的访问。已经对/etc/rc.local 和 crontab下的异常内容进行了清除,已经删除了weblogic下多出来的异常文件,尤其是远程下载下来的sourplum同文件夹下的异常文件,已kill了相关进程。重启服务器后,检查进程正常,rc.local和crontab正常。防火墙上未再出现本机地址指向外网的异常访问链接。
最后,更新了weblogic的补丁。
结合大家给我的回复和意见,我已经整理了文档向领导请示,将weblogic的运行权限调低,修改系统口令,断掉服务器的直接外网链接,转由端口转发式访问。
以上。
针对你说的检查ls、ps、top等命令我还未操作,今天验证一下,同时也会对/tmp /boot目录下的可疑文件进行检查。非常感谢


欢迎大拿们继续支招补充。

为答谢社区热心网友们的帮助和支持,我决定将我用到的OracleWebLogic Server CVE-2017-10271补丁包分享给大家,这个补丁包官方才放出来不到半个月,我们系统内已经有相当数量的服务器中招,相信大家也会需要。防范于未然吧,大家共同努力、进步!
最后是下载链接:链接: https://pan.baidu.com/s/1mive6i0 密码: nkqj(7天内有效,请及时下载转存)
再次感谢有爱的深度社区和社区朋友们!
致敬!
Reply View the author
avatar
dameng
deepin
2018-01-04 19:05
#43
https://bbs.deepin.org/post/151059
大神,请问是什么版本的 redis 有漏洞啊?我的机器里面布署了 redis ... ...

忘记版本了,主要原因是redis安装之后默认没有开启认证,也没有修改端口,就会被扫到。。开启一下认证就没事了
Reply View the author
avatar
arlly
deepin
2018-01-04 19:34
#44
http://www.techug.com/post/hacker-attack-my-server.html
Reply View the author
avatar
xiaozijiu
deepin
2018-01-25 18:06
#45
https://bbs.deepin.org/post/151059
大概率是内部有人利用服务器在挖矿,搞瘫了服务器,导致业务受影响。我们就被抓来平问题。问题解决了,至 ...

看来楼主也是XX体制内的人事,之前也处理过类似的事件,内网有人在搞事也抓到了最后还是屁都不敢放事情给掩盖下去了。锅还是自己背
Reply View the author
3 / 3
To page