背景 最近搭了個redis未授權訪問漏洞的靶機，搭完沒多久就被國外黑客入侵了，放了不少挖礦病毒在上面，服務器直接卡死。好久沒有做應急了，剛好借着這個契機，復習下應急響應這部分內容。 開始 應急響應的開始，我覺得應該先了解中招主機的現象、主機裝了哪些服務、客戶執行了哪些操作等信息。從這些方面 ...

Linux被kdevtmpfsi挖礦病毒入侵 一. 錯誤信息 二.解決問題 1.首先停掉kdevtmpfsi的程序 2.刪除Linux下的異常定時任務 3.結束kdevtmpfsi進程及端口占用 4.刪除掉kdevtmpfsi ...

一　文件排查 查看tmp目錄下的文件　la -alt /tmp/ 如圖，發現多個異常文件，疑似挖礦程序病毒。對已發現的惡意文件進行分析，查看 559.sh 腳本內容：腳本先是殺掉服務器 上 cpu 占用大於 20%的進程，然后從遠程 27.155.87.26（福建，黑客所控制的一 個 IDC ...

1.深入分析，查找入侵原因 1.1 檢查隱藏賬戶及弱口令 1.1.1、檢查服務器系統及應用賬戶是否存在弱口令 檢查說明：檢查管理員賬戶、數據庫賬戶、MySQL賬戶、tomcat賬戶、網站后台管理員賬戶等密碼設置是否較為簡單，簡單的密碼很容易被黑客破解 解決方法：以管理員權限登錄系統 ...

發現病毒入侵歷程： 昨天正常網上遨游在技術天地中，忽然發現網絡變得異常卡頓，解析網站變得很慢 甚至打不開，我的第一反應就是DNS可能出了問題，然后ping 域名同時追蹤外網地址 ，並同時ping包結果都沒有問題。然后就啟動測速軟件，測速結果3M不到，我的網絡環境是電信200M+聯通300M ...

在日常繁瑣的運維工作中，對linux服務器進行安全檢查是一個非常重要的環節。今天，分享一下如何檢查linux系統是否遭受了入侵？ 一、是否入侵檢查 1）檢查系統日志 檢查系統錯誤登陸日志，統計IP重試次數（last命令是查看系統登陸日志，比如系統被reboot或登陸情況 ...

發現服務器CPU占用100%，通過top命令發現pubg -c config.json -t 2占用CPU資源，kill進程會自動啟動。黑客入侵方式是kubernetes創建pod。 解決方法 1，刪除pod 2，修改crontab配置。 3，關閉 ...

問題描述： 一台阿里雲服務器，收到連續告警CPU使用量已經大於95%。但這台機器上面使用中的業務只有一個不常使用的MySQL，其他就沒有了，正常情況下CPU是不可能達到這么高的。查看告警信息，發現有被植入挖礦程序，可疑程序文件路徑為 /usr/lib/libiacpkmn.so.3。 排查 ...