背景 最近搭了个redis未授权访问漏洞的靶机，搭完没多久就被国外黑客入侵了，放了不少挖矿病毒在上面，服务器直接卡死。好久没有做应急了，刚好借着这个契机，复习下应急响应这部分内容。 开始 应急响应的开始，我觉得应该先了解中招主机的现象、主机装了哪些服务、客户执行了哪些操作等信息。从这些方面 ...

Linux被kdevtmpfsi挖矿病毒入侵 一. 错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi ...

一　文件排查 查看tmp目录下的文件　la -alt /tmp/ 如图，发现多个异常文件，疑似挖矿程序病毒。对已发现的恶意文件进行分析，查看 559.sh 脚本内容：脚本先是杀掉服务器 上 cpu 占用大于 20%的进程，然后从远程 27.155.87.26（福建，黑客所控制的一 个 IDC ...

1.深入分析，查找入侵原因 1.1 检查隐藏账户及弱口令 1.1.1、检查服务器系统及应用账户是否存在弱口令 检查说明：检查管理员账户、数据库账户、MySQL账户、tomcat账户、网站后台管理员账户等密码设置是否较为简单，简单的密码很容易被黑客破解 解决方法：以管理员权限登录系统 ...

发现病毒入侵历程： 昨天正常网上遨游在技术天地中，忽然发现网络变得异常卡顿，解析网站变得很慢 甚至打不开，我的第一反应就是DNS可能出了问题，然后ping 域名同时追踪外网地址 ，并同时ping包结果都没有问题。然后就启动测速软件，测速结果3M不到，我的网络环境是电信200M+联通300M ...

在日常繁琐的运维工作中，对linux服务器进行安全检查是一个非常重要的环节。今天，分享一下如何检查linux系统是否遭受了入侵？ 一、是否入侵检查 1）检查系统日志 检查系统错误登陆日志，统计IP重试次数（last命令是查看系统登陆日志，比如系统被reboot或登陆情况 ...

发现服务器CPU占用100%，通过top命令发现pubg -c config.json -t 2占用CPU资源，kill进程会自动启动。黑客入侵方式是kubernetes创建pod。 解决方法 1，删除pod 2，修改crontab配置。 3，关闭 ...

问题描述： 一台阿里云服务器，收到连续告警CPU使用量已经大于95%。但这台机器上面使用中的业务只有一个不常使用的MySQL，其他就没有了，正常情况下CPU是不可能达到这么高的。查看告警信息，发现有被植入挖矿程序，可疑程序文件路径为 /usr/lib/libiacpkmn.so.3。 排查 ...