背景 最近搭了个redis未授权访问漏洞的靶机，搭完没多久就被国外黑客入侵了，放了不少挖矿病毒在上面，服务器直接卡死。好久没有做应急了，刚好借着这个契机，复习下应急响应这部分内容。 开始 应急响应的开始，我觉得应该先了解中招主机的现象、主机装了哪些服务、客户执行了哪些操作等信息。从这些方面 ...

一般情况下，挖矿病毒都是自动扫描+自动挂马生成的，并不会是有专人进行攻击，所以也比较好清除，注意清除之后需要 check 有无后门。 最重要几点（也可能是被hack的原因）：禁止 ROOT 用户登陆，ROOT 不能使用弱密码，FRP 需要配置，不能使用默认选项。 挖矿进程占用的 CPU 资源 ...

来龙去脉 昨天收到阿里云的安全邮件，主机被挖矿程序入侵 有必要了解一下挖矿,百度搜索结果 所谓“挖矿”实质上是用计算机解决一项复杂的数学问题，来保证比特币网络分布式记账系统的一致性。比特币网络会自动调整数学问题的难度，让整个网络约每10分钟得到一个合格答案。随后比特币网络会新生 ...

top 看到一个bashd的进程占据了cpu ps aux |grep bashd cd /tmp 发现ddg.2011 的文件。root dump.rdb 在/root/.ssh 也有奇怪 ...

为了方便远程使用，师弟把实验室的电脑映射的公网上，结果被植入了挖矿程序 挖矿软件是这个，因为已经被清理掉了，所以看不到运行了，不然的话，使用 nvidia-smi 命令可以看到这个挖矿程序在工作。 然后进入到这个进程中， cd /proc/$PID , 查看它的信息 ...

http://www.freebuf.com/column/158065.html redis 6379默认端口、绑定所有IP（便于远程开发）、没有加密、使用root启动redis，被扫描到那是自然的事。 借助于redis的持久化功能将病毒脚本写入到系统的各个角落并执行，比如定时任务 ...

记录一次服务器被入侵的解决方法 一：问题说明 1、我的服务器是使用的阿里云的CentOS，收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况（top 命令），看到一个名为minerd的进程占用了99.5%的CPU 2、minerd是个挖矿程序，什么是“挖矿”，特此百度了一下 ...

处理过程： 1、查找异常进程，确定病毒进程，定位病毒脚本的执行用户 2、杀掉病毒进程，注意要检查清楚，病毒进程可能有多个，同时也要注意不要误删系统进程或者阿里云的进程 3、检查定时任务，一般都会有，以达到病毒自启的效果，通过定时任务内容定位病毒脚本的位置，然后删除病毒脚本 4、整改 ...