版權(quán)聲明:原創(chuàng)作品参歹,謝絕轉(zhuǎn)載郎楼!否則將追究法律責(zé)任。
今天老大手機報警 我檢查發(fā)現(xiàn)阿里云服務(wù)器CPU很高趋距,執(zhí)行 top 一看,有個進程minerd盡然占用了90%多的CPU, 趕緊百度一下越除,查到幾篇文章都有人遇到同樣問題
Hu_Wen遇到的和我最相似节腐,下邊是他的解決辦法
http://blog.csdn.net/hu_wen/article/details/51908597
但我去查看啟動的服務(wù)外盯,盡然沒有 lady 這個服務(wù)。 找不到始作俑者铜跑,那個minerd進程刪掉就又起來了门怪,后來想了個臨時辦法,先停掉了挖礦的進程
關(guān)閉訪問挖礦服務(wù)器的訪問
iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd? ,取消掉執(zhí)行權(quán)限锅纺, 在沒有找到根源前掷空,千萬不要刪除 minerd,因為刪除了囤锉,過一回會自動有生成一個坦弟。
3. pkill minerd? ,殺掉進程
4. service stop crond 或者 crontab -r 刪除所有的執(zhí)行計劃
5. 執(zhí)行top,查看了一會官地,沒有再發(fā)現(xiàn)minerd 進程了酿傍。
解決minerd并不是最終的目的,主要是要查找問題根源驱入,我的服務(wù)器問題出在了redis服務(wù)了赤炒,黑客利用了redis的一個漏洞獲得了服務(wù)器的訪問權(quán)限,
http://blog.jobbole.com/94518/
然后就注入了病毒
下面是解決辦法和清除工作
1. 修復(fù) redis 的后門,
配置bind選項, 限定可以連接Redis服務(wù)器的IP, 并修改redis的默認端口6379.
配置AUTH, 設(shè)置密碼, 密碼會以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 這樣即使存在未授權(quán)訪問, 也能夠給攻擊者使用config指令加大難度
好消息是Redis作者表示將會開發(fā)”real user”亏较,區(qū)分普通用戶和admin權(quán)限莺褒,普通用戶將會被禁止運行某些命令,如conf
2. 打開 ~/.ssh/authorized_keys, 刪除你不認識的賬號
3. 查看你的用戶列表雪情,是不是有你不認識的用戶添加進來遵岩。 如果有就刪除掉.
本文出自 “李世龍” 博客,謝絕轉(zhuǎn)載巡通!
