V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Graves
V2EX  ›  问与答

服务器是怎么被放上挖矿程序的?

  •  
  •   Graves · 2019-11-22 15:33:02 +08:00 · 2824 次点击
    这是一个创建于 1804 天前的主题,其中的信息可能已经有所发展或是发生改变。
    前两天生产有两台服务器被放了挖矿脚本,用 top 看,没发现有 100%的进程,但是看到 load average 很高,9 点多,平时基本都是零点几,因为没有系统的学习 linux,去网上搜了一段命令,才看到看到消耗 cpu 的进程,后面才 kill 进程,找到脚本文件,删除了定时任务
    后面有点细思极恐了,是不是 root 密码泄漏了,赶紧改了密码,还好数据库没出问题,但还是很慌,有没有这种防范排查的教程呀,或者说一些安全操作生产服务器的规范.
    13 条回复    2019-11-23 09:33:10 +08:00
    Graves
        1
    Graves  
    OP
       2019-11-22 15:34:09 +08:00
    ps -aux --sort=-pcpu|head -10
    这个命令查看消耗 cpu 前十的进程
    ddosakura
        2
    ddosakura  
       2019-11-22 15:37:03 +08:00 via Android
    禁用密码登录,用密钥
    Graves
        3
    Graves  
    OP
       2019-11-22 15:37:24 +08:00
    巧合的是,我搜到的那篇文章,挖矿脚本的位置,crontab 的内容一模一样,手动狗头....我就照着做处理掉了,cpu 负载也下来了
    Graves
        4
    Graves  
    OP
       2019-11-22 15:43:01 +08:00
    自己也有思考这个问题,需要搞个公司内网的跳板机,然后需要登陆的机子密钥都放跳板机上面,要链接服务器就通过跳板机免密登陆,但是有个习惯,就是通过 filezilla 拉去文件,可视化的工具比较方便,免密登陆好像就用不了 filezilla
    dier
        5
    dier  
       2019-11-22 15:59:32 +08:00
    可视化上传下载文件可以用 winSCP,支持密钥
    opengps
        6
    opengps  
       2019-11-22 16:03:36 +08:00 via Android
    多数挖矿程序是 445 端口漏洞,当然也有自己系统漏洞传入木马,让后下载启动挖矿的例子
    建议重点排查下运维层面的入方向放行端口,网站接口的文件上传接口
    woyao
        7
    woyao  
       2019-11-22 16:05:04 +08:00
    可能 top 已经被替换了。
    msg7086
        8
    msg7086  
       2019-11-22 16:30:42 +08:00
    如果 root 被攻破了,那整个系统就不安全了,建议重装。
    FS1P7dJz
        9
    FS1P7dJz  
       2019-11-22 16:50:15 +08:00
    我怀疑你们 22 都没改
    直接被批量扫描注入

    另外 top 之类当然可以被替换
    高明的挖矿都不会让你服务器明显异常,只跑在低负载时间段
    zpfhbyx
        10
    zpfhbyx  
       2019-11-22 17:29:21 +08:00
    jumpserver2 ..
    Graves
        11
    Graves  
    OP
       2019-11-22 18:36:57 +08:00
    @woyao 应该没有替换,看了操作系统文件的路径

    @msg7086 成本太大了,只能暂时观察
    @FS1P7dJz 22 没改,但是密码还是很复杂了,想不到这么容易攻破,也不确定是不是被攻破,这个挖矿很有意思,但是网络监控里面看到有大量请求外网的 ip,我一登陆上去他会停止挖矿,netstat 就看不到链接了



    其实主要想问有没有这类的教程或者防范检测资料,想学习一下,不然只能于是不决,重装系统了.
    FS1P7dJz
        12
    FS1P7dJz  
       2019-11-23 08:41:32 +08:00
    如果你们没有专门的运维人员
    那么用类似安全狗这样的傻瓜工具会比自己折腾好

    另外,在对外服务上的漏洞可能性更大
    wzw
        13
    wzw  
       2019-11-23 09:33:10 +08:00 via iPhone
    好奇,服务器能挖什么矿
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1068 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:28 · PVG 03:28 · LAX 12:28 · JFK 15:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.