码上快乐

相关内容   简体   繁体

安全系列 | 【阿里云】安全告警处理-进程异常行为-访问恶意下载源

本文转载自  查看原文  2020-01-09 14:07  1563    阿里云/百度云/腾讯云/ 网络基/Web软件架构/安全

 提示以上信息

说是下载这个 https://github.com/xmrig/xmrig/releases/download/v5.5.0/xmrig-5.5.0-xenial-x64.tar.gz,这是个啥?

 

 

 被挖矿了??服务器我一直都是维护的好好的

查找该名称相关的文件和进程,没有任何效果

# ps -aux|grep minerd
root     31803  0.0  0.0  14428  1092 pts/1    S+   13:38   0:00 grep --color=auto minerd

 查看Redis

# ps -aux|grep redis
redis      532  0.1  0.2  54208  4732 ?        Ssl  Jan06   6:06 /usr/local/bin/redis-server 127.0.0.1:6379
mysql 2954 0.0 0.1 37212 2864 ? Ssl Jan06 2:50 redis-server *:6379 mysql 3118 0.0 0.1 37212 2824 ? Ssl Jan06 2:51 redis-server *:6379 mysql 3132 0.0 0.1 37212 2744 ? Ssl Jan06 2:50 redis-server *:6379

 我不是只开启了一个Redis 服务吗,并且是以redis用户执行的,其他三个怎么回事?

查看当前Redis开启状态,没错是只有一个

# systemctl status redis.service 
● redis.service - Redis In-Memory Data Store
   Loaded: loaded (/etc/systemd/system/redis.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-01-06 11:52:02 CST; 3 days ago
 Main PID: 532 (redis-server)
    Tasks: 4 (limit: 2325)
   CGroup: /system.slice/redis.service
           └─532 /usr/local/bin/redis-server 127.0.0.1:6379

 停止Redis服务,进程还在  

# systemctl stop redis.service

 查找redis相关文件

# sudo find / -name redis
/usr/local/redis
/etc/redis
/var/lib/docker/overlay2/57f4066b3273cdb661f25711569d662d38431be0bb1b2842aa26245807094cc6/diff/usr/local/openresty/lualib/redis
/var/lib/redis

 一行红色是怎么回事?

# ps -aux|grep redis
root       467  0.0  0.0  14428  1064 pts/1    S+   13:46   0:00 grep --color=auto redis
mysql 32391 0.0 0.1 37212 3576 ? Ssl 13:40 0:00 redis-server *:6379

根据进程号PID查找启动程序的全路径 32391

cd /proc/32391/
root@manager1:/proc/32391# ls
attr       cgroup      comm             cwd      fd       io        map_files  mountinfo   net        oom_adj        pagemap      projid_map  schedstat  smaps         stat    syscall  timerslack_ns
autogroup  clear_refs  coredump_filter  environ  fdinfo   limits    maps       mounts      ns         oom_score      patch_state  root        sessionid  smaps_rollup  statm   task     uid_map
auxv       cmdline     cpuset           exe      gid_map  loginuid  mem        mountstats  numa_maps  oom_score_adj  personality  sched       setgroups  stack         status  timers   wchan

 找到某进程启动路径的方法是

1、可以从ps命令中得到进程的PID,如 32391

2、进入/proc目录下以该PID命名的目录

3、输入ls -ail,结果中exe链接对应的就是可执行文件的全路经详细信息  

现在我们执行第三步

:/proc/32391# ls -ail
total 0
2507903 dr-xr-xr-x   9 mysql docker 0 Jan  9 13:40 .
      1 dr-xr-xr-x 120 root  root   0 Jan  6 11:51 ..
2552919 dr-xr-xr-x   2 mysql docker 0 Jan  9 13:47 attr
2552907 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 autogroup
2552903 -r--------   1 mysql docker 0 Jan  9 13:47 auxv
2507918 -r--r--r--   1 mysql docker 0 Jan  9 13:40 cgroup
2552915 --w-------   1 mysql docker 0 Jan  9 13:47 clear_refs
2508184 -r--r--r--   1 mysql docker 0 Jan  9 13:40 cmdline
2552908 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 comm
2552929 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 coredump_filter
2552923 -r--r--r--   1 mysql docker 0 Jan  9 13:47 cpuset
2508186 lrwxrwxrwx   1 mysql docker 0 Jan  9 13:40 cwd -> /data
2552902 -r--------   1 mysql docker 0 Jan  9 13:47 environ
2507904 lrwxrwxrwx 1 mysql docker 0 Jan 9 13:40 exe -> /usr/local/bin/redis-server
2507907 dr-x------   2 mysql docker 0 Jan  9 13:40 fd
2552901 dr-x------   2 mysql docker 0 Jan  9 13:47 fdinfo
2552930 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 gid_map

  就是这一行了,原来是docker启动的(docker目前没怎么用,不是已经关闭了,怎么换在)

 

 好吧,关闭掉docker 服务,继续查看该进程,不在了

 


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 安全系列 —— 登录认证 安全系列之一:忘记密码 阿里云服务器安全组配置-有关访问实例异常的解决办法 WCF系列(六) - WCF安全系列(一) - basicHttpBinding 前端安全系列(一):如何防止XSS攻击? 前端安全系列(一):如何防止XSS攻击? 等级保护2.0之Linux安全系列 等级保护2.0之Linux安全系列 Web安全系列(四):XSS 的防御 前端安全系列(一):如何防止XSS攻击?
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM