碼上快樂

相關內容    簡體    繁體

安全系列 | 【阿里雲】安全告警處理-進程異常行為-訪問惡意下載源

本文轉載自   查看原文   2020-01-09 14:07   1563    阿里雲/百度雲/騰訊雲/ 網絡基/Web軟件架構/安全

 提示以上信息

說是下載這個 https://github.com/xmrig/xmrig/releases/download/v5.5.0/xmrig-5.5.0-xenial-x64.tar.gz,這是個啥?

 

 

 被挖礦了??服務器我一直都是維護的好好的

查找該名稱相關的文件和進程,沒有任何效果

# ps -aux|grep minerd
root     31803  0.0  0.0  14428  1092 pts/1    S+   13:38   0:00 grep --color=auto minerd

 查看Redis

# ps -aux|grep redis
redis      532  0.1  0.2  54208  4732 ?        Ssl  Jan06   6:06 /usr/local/bin/redis-server 127.0.0.1:6379
mysql 2954 0.0 0.1 37212 2864 ? Ssl Jan06 2:50 redis-server *:6379 mysql 3118 0.0 0.1 37212 2824 ? Ssl Jan06 2:51 redis-server *:6379 mysql 3132 0.0 0.1 37212 2744 ? Ssl Jan06 2:50 redis-server *:6379

 我不是只開啟了一個Redis 服務嗎,並且是以redis用戶執行的,其他三個怎么回事?

查看當前Redis開啟狀態,沒錯是只有一個

# systemctl status redis.service 
● redis.service - Redis In-Memory Data Store
   Loaded: loaded (/etc/systemd/system/redis.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-01-06 11:52:02 CST; 3 days ago
 Main PID: 532 (redis-server)
    Tasks: 4 (limit: 2325)
   CGroup: /system.slice/redis.service
           └─532 /usr/local/bin/redis-server 127.0.0.1:6379

 停止Redis服務,進程還在  

# systemctl stop redis.service

 查找redis相關文件

# sudo find / -name redis
/usr/local/redis
/etc/redis
/var/lib/docker/overlay2/57f4066b3273cdb661f25711569d662d38431be0bb1b2842aa26245807094cc6/diff/usr/local/openresty/lualib/redis
/var/lib/redis

 一行紅色是怎么回事?

# ps -aux|grep redis
root       467  0.0  0.0  14428  1064 pts/1    S+   13:46   0:00 grep --color=auto redis
mysql 32391 0.0 0.1 37212 3576 ? Ssl 13:40 0:00 redis-server *:6379

根據進程號PID查找啟動程序的全路徑 32391

cd /proc/32391/
root@manager1:/proc/32391# ls
attr       cgroup      comm             cwd      fd       io        map_files  mountinfo   net        oom_adj        pagemap      projid_map  schedstat  smaps         stat    syscall  timerslack_ns
autogroup  clear_refs  coredump_filter  environ  fdinfo   limits    maps       mounts      ns         oom_score      patch_state  root        sessionid  smaps_rollup  statm   task     uid_map
auxv       cmdline     cpuset           exe      gid_map  loginuid  mem        mountstats  numa_maps  oom_score_adj  personality  sched       setgroups  stack         status  timers   wchan

 找到某進程啟動路徑的方法是

1、可以從ps命令中得到進程的PID,如 32391

2、進入/proc目錄下以該PID命名的目錄

3、輸入ls -ail,結果中exe鏈接對應的就是可執行文件的全路經詳細信息  

現在我們執行第三步

:/proc/32391# ls -ail
total 0
2507903 dr-xr-xr-x   9 mysql docker 0 Jan  9 13:40 .
      1 dr-xr-xr-x 120 root  root   0 Jan  6 11:51 ..
2552919 dr-xr-xr-x   2 mysql docker 0 Jan  9 13:47 attr
2552907 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 autogroup
2552903 -r--------   1 mysql docker 0 Jan  9 13:47 auxv
2507918 -r--r--r--   1 mysql docker 0 Jan  9 13:40 cgroup
2552915 --w-------   1 mysql docker 0 Jan  9 13:47 clear_refs
2508184 -r--r--r--   1 mysql docker 0 Jan  9 13:40 cmdline
2552908 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 comm
2552929 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 coredump_filter
2552923 -r--r--r--   1 mysql docker 0 Jan  9 13:47 cpuset
2508186 lrwxrwxrwx   1 mysql docker 0 Jan  9 13:40 cwd -> /data
2552902 -r--------   1 mysql docker 0 Jan  9 13:47 environ
2507904 lrwxrwxrwx 1 mysql docker 0 Jan 9 13:40 exe -> /usr/local/bin/redis-server
2507907 dr-x------   2 mysql docker 0 Jan  9 13:40 fd
2552901 dr-x------   2 mysql docker 0 Jan  9 13:47 fdinfo
2552930 -rw-r--r--   1 mysql docker 0 Jan  9 13:47 gid_map

  就是這一行了,原來是docker啟動的(docker目前沒怎么用,不是已經關閉了,怎么換在)

 

 好吧,關閉掉docker 服務,繼續查看該進程,不在了

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 阿里雲服務器安全組配置-有關訪問實例異常的解決辦法 ubuntu16.04源阿里雲下載 更換CentOS7的下載源為阿里雲 阿里雲yum源下載與使用 前端安全系列(一):如何防止XSS攻擊? Java全系列幫助文檔下載 阿里雲(Aliyun)安全組 允許443端口訪問 阿里雲日志服務告警設置 阿里雲ECS安裝寶塔后無法訪問如何處理? 前端安全系列之二:如何防止CSRF攻擊
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM