文档章节

你的阿里云服务器在健在吗,有没有被用来挖矿?

傲娇字符
 傲娇字符
发布于 04/27 18:21
字数 299
阅读 164
收藏 15
点赞 0
评论 2

最近每天晚上收到阿里云的异常短信,提示有linux异常文件下载:

找了阿里云提交工单,也没有一个所以然:

于是,只能百度,找到了一篇类似的文章,大致意思是有黑客利用redis默认端口漏洞,将服务器变成肉鸡,用于挖矿。有个进程为gpg-agentd的,占用内存特别高,经过检查,果然中招;

于是有了如下步骤:

1、杀掉该进程;

2、修改root账号密码;

3、修改redis默认端口,并设置密码登陆配置(我就是这里中招,之前安装了redis做测试,没有设置密码,也没有停导致的);

4、删除挖矿程序脚本:/usr/bin/gpg-agentd

5、执行命令查看定时脚本:crontab -l

有了这行命令,即使你把进程杀了,还会隔段时间自动启动,所以要把该任务删除掉;

由于我不需要使用定时任务,所以直接关闭服务:

/sbin/service crond stop

 

 

参考原帖地址:

https://blog.csdn.net/u010064124/article/details/79593060

https://blog.csdn.net/b376924098/article/details/79607334

 

© 著作权归作者所有

共有 人打赏支持
傲娇字符
粉丝 4
博文 36
码字总数 13903
作品 0
武汉
架构师
加载中

评论(2)

傲娇字符
傲娇字符

引用来自“zxl78585”的评论

设置仅允许证书登录,并禁用远程密码登录,就可以躺家里睡大觉,美滋滋

@zxl78585 此法甚赞,谢谢
zxl78585
zxl78585
设置仅允许证书登录,并禁用远程密码登录,就可以躺家里睡大觉,美滋滋
预警:黑客利用Hadoop Yarn未授权访问漏洞

  【IT168 评论】4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。   Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 Ma...

云栖社区 ⋅ 05/07 ⋅ 0

首发预警 | 黑客利用Hadoop Yarn资源管理系统未授权访问漏洞进行攻击

4月30日,阿里云发现,俄罗斯黑客利用Hadoop Yarn资源管理系统REST API未授权访问漏洞进行攻击。 Hadoop是一款由Apache基金会推出的分布式系统框架,它通过著名的 MapReduce 算法进行分布式处...

云安全2016 ⋅ 05/07 ⋅ 0

阿里云服务器被挖矿病毒minerd入侵的解决方法

早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,miner...

宏伟的版图 ⋅ 2017/12/28 ⋅ 0

比特币勒索:你的数据库是如何成为黑客“挖矿机”的

摘要: 2016年是勒索病毒泛滥的年份,而2017年“挖矿”随着电子货币价格的一路攀升,已成为黑客的新宠。黑客多利用“肉鸡”(被控制的电脑)实施挖矿。挖矿可以赚取电子货币,黑客直接通过电...

云上阿土伯 ⋅ 2017/12/27 ⋅ 0

Drupal CVE-2018-7600 漏洞利用和攻击

背景介绍 2018年3月28日,Drupal Security Team官方发布了一个重要的安全公告,宣称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码...

云安全2016 ⋅ 04/26 ⋅ 0

央行终按捺不住 虚拟货币交易或退中国市场

  【IT168 评论】最近一段时间,随着以比特币为首的虚拟货币价值的不断攀升,不少企业和个人纷纷打起了虚拟货币的主意,“挖矿”一时间成为热词。各种以挖矿为噱头的设备也不断涌现,不少网...

it168网站 ⋅ 01/17 ⋅ 0

阿里云ECS,态势感知报 Liunx异常文件下载。

阿里云服务器报 Liunx异常文件下载、挖矿进程、SSH远程非交互式一句话异常指令执行,经排查为wnTKYg病毒,具体修复步骤如下: 通过#top -c排查CPU占内存很高的进程 19146 root 20 0 236236 5...

郑加威 ⋅ 04/05 ⋅ 0

记一次服务器被挖矿程序入侵的解决过程

公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图)这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来...

Tyrant0532 ⋅ 2017/12/05 ⋅ 0

服务器被入侵(minerd挖矿程序)

一:问题说明 1、我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况( 命令),看到一个名为minerd的进程占用了99.5%的CPU 2、minerd是个挖矿程...

奔跑的阿飞 ⋅ 2017/09/05 ⋅ 0

【云周刊】第152期:北京云栖大会的技术红利:视频服务降价34%,基础设施降价25%

本期头条 北京云栖大会的技术红利:视频服务降价34%,基础设施降价25% 12月20日,在2017云栖大会·北京分会上,阿里云宣布将进一步释放科技带来的普惠红利,用更低的价格,更智能的产品,推动...

场景研读 ⋅ 2017/12/28 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Day 17 vim简介与一般模式介绍

vim简介 vi和Vim的最大区别就是编辑一个文件时vi不会显示颜色,而Vim会显示颜色。显示颜色更便于用户编辑,凄然功能没有太大的区别 使用 yum install -y vim-enhanced 安装 vim的三种常用模式...

杉下 ⋅ 48分钟前 ⋅ 0

【每天一个JQuery特效】根据可见状态确定是否显示或隐藏元素(3)

效果图示: 主要代码: <!DOCTYPE html><html><head><meta charset="UTF-8"><title>根据可见状态确定 是否显示或隐藏元素</title><script src="js/jquery-3.3.1.min.js" ty......

Rhymo-Wu ⋅ 57分钟前 ⋅ 0

OSChina 周四乱弹 —— 初中我身体就已经垮了,不知道为什么

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @加油东溪少年 :下完这场雨 后弦 《下完这场雨》- 后弦 手机党少年们想听歌,请使劲儿戳(这里) @马丁的代码 :买了日本 日本果然赢了 翻了...

小小编辑 ⋅ 今天 ⋅ 12

浅谈springboot Web模式下的线程安全问题

我们在@RestController下,一般都是@AutoWired一些Service,由于这些Service都是单例,所以并不存在线程安全问题。 由于Controller本身是单例模式 (非线程安全的), 这意味着每个request过来,...

算法之名 ⋅ 今天 ⋅ 0

知乎Java数据结构

作者:匿名用户 链接:https://www.zhihu.com/question/35947829/answer/66113038 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 感觉知乎上嘲讽题主简...

颖伙虫 ⋅ 今天 ⋅ 0

Confluence 6 恢复一个站点有关使用站点导出为备份的说明

推荐使用生产备份策略。我们推荐你针对你的生产环境中使用的 Confluence 参考 Production Backup Strategy 页面中的内容进行备份和恢复(这个需要你备份你的数据库和 home 目录)。XML 导出备...

honeymose ⋅ 今天 ⋅ 0

JavaScript零基础入门——(九)JavaScript的函数

JavaScript零基础入门——(九)JavaScript的函数 欢迎回到我们的JavaScript零基础入门,上一节课我们了解了有关JS中数组的相关知识点,不知道大家有没有自己去敲一敲,消化一下?这一节课,...

JandenMa ⋅ 今天 ⋅ 0

火狐浏览器各版本下载及插件httprequest

各版本下载地址:http://ftp.mozilla.org/pub/mozilla.org//firefox/releases/ httprequest插件截至57版本可用

xiaoge2016 ⋅ 今天 ⋅ 0

Docker系列教程28-实战:使用Docker Compose运行ELK

原文:http://www.itmuch.com/docker/28-docker-compose-in-action-elk/,转载请说明出处。 ElasticSearch【存储】 Logtash【日志聚合器】 Kibana【界面】 答案: version: '2'services: ...

周立_ITMuch ⋅ 今天 ⋅ 0

使用快嘉sdkg极速搭建接口模拟系统

在具体项目研发过程中,一旦前后端双方约定好接口,前端和app同事就会希望后台同事可以尽快提供可供对接的接口方便调试,而对后台同事来说定好接口还仅是个开始、设计流程,实现业务逻辑,编...

fastjrun ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部