背景 最近搭了個redis未授權訪問漏洞的靶機，搭完沒多久就被國外黑客入侵了，放了不少挖礦病毒在上面，服務器直接卡死。好久沒有做應急了，剛好借着這個契機，復習下應急響應這部分內容。 開始 應急響應的開始，我覺得應該先了解中招主機的現象、主機裝了哪些服務、客戶執行了哪些操作等信息。從這些方面 ...

一般情況下，挖礦病毒都是自動掃描+自動掛馬生成的，並不會是有專人進行攻擊，所以也比較好清除，注意清除之后需要 check 有無后門。 最重要幾點（也可能是被hack的原因）：禁止 ROOT 用戶登陸，ROOT 不能使用弱密碼，FRP 需要配置，不能使用默認選項。 挖礦進程占用的 CPU 資源 ...

來龍去脈 昨天收到阿里雲的安全郵件，主機被挖礦程序入侵 有必要了解一下挖礦,百度搜索結果 所謂“挖礦”實質上是用計算機解決一項復雜的數學問題，來保證比特幣網絡分布式記賬系統的一致性。比特幣網絡會自動調整數學問題的難度，讓整個網絡約每10分鍾得到一個合格答案。隨后比特幣網絡會新生 ...

top 看到一個bashd的進程占據了cpu ps aux |grep bashd cd /tmp 發現ddg.2011 的文件。root dump.rdb 在/root/.ssh 也有奇怪 ...

為了方便遠程使用，師弟把實驗室的電腦映射的公網上，結果被植入了挖礦程序 挖礦軟件是這個，因為已經被清理掉了，所以看不到運行了，不然的話，使用 nvidia-smi 命令可以看到這個挖礦程序在工作。 然后進入到這個進程中， cd /proc/$PID , 查看它的信息 ...

http://www.freebuf.com/column/158065.html redis 6379默認端口、綁定所有IP（便於遠程開發）、沒有加密、使用root啟動redis，被掃描到那是自然的事。 借助於redis的持久化功能將病毒腳本寫入到系統的各個角落並執行，比如定時任務 ...

記錄一次服務器被入侵的解決方法 一：問題說明 1、我的服務器是使用的阿里雲的CentOS，收到的阿里雲發來的提示郵件如下 然后我查看了運行的進程情況（top 命令），看到一個名為minerd的進程占用了99.5%的CPU 2、minerd是個挖礦程序，什么是“挖礦”，特此百度了一下 ...

處理過程： 1、查找異常進程，確定病毒進程，定位病毒腳本的執行用戶 2、殺掉病毒進程，注意要檢查清楚，病毒進程可能有多個，同時也要注意不要誤刪系統進程或者阿里雲的進程 3、檢查定時任務，一般都會有，以達到病毒自啟的效果，通過定時任務內容定位病毒腳本的位置，然后刪除病毒腳本 4、整改 ...