黑客!无孔不入,挖矿居然挖到了AAA

和黑猫之家聊聊?

最近,有同事反映,我校AAA论坛登录异常,我赶紧通过ssh连接远程服务器发现无法登录,使用ping命令测试服务器连接正常。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第1张

接下来登录阿里云服务器管理页面,发现如下告警信息:

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第2张

当时就慌了,挖矿进程?之前有朋友在家搞了几台挖矿服务器,结果噪音太大被邻居投诉。大多数矿机都集中到农村偏远地区了,(我国的比特币矿区基本上都在新疆和内蒙古地区)没有想到这些人居然把木马矿机搞到阿里云服务器上来了。果断重置密码,重启服务器。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第3张

重新使用新密码ssh服务器,成功登录。使用top命令查看进程。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第4张

可以发现服务器负载出奇的高,cpu一直占用90%以上,而且有一个xig的进程占用了大部分cpu资源。

下面我们要搞清楚xig进程是个啥东东?

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第5张

这一下解开了庐山真面目。

通过这个url地址发现stratum协议是目前最常用的矿机和矿池之间的TCP通讯协议。看下图科普一下:

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第6张

然后根据url地址可以找出挖矿软件的源头是http://www.yiluzhuanqian.com

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第7张

最后我们来处理这个垃圾程序。强烈建议有关部门查封此网站,挖矿没有错,可不能盗用别人服务器资源啊。下面我们分步骤处理此恶意软件。

步骤一:删除硬盘上的yilu文件夹。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第8张

步骤二:结束xig进程,然后检查是否还有xig存在。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第9张

top命令查看,发现服务器cpu使用率已经正常了。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第10张

步骤三:检查系统定时任务,删除恶意任务。

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第11张

使用crontab -e 删除恶意任务

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第12张

至此,恶意程序被处理干净,此次事故造成我论坛异常访问两天,同时也给我们敲醒警钟,信息安全重于泰山,定期修改密码,增加密码复杂度可以有效防止类似的ssh密码被暴力破解的事故。愿天下无贼!

黑客!无孔不入,挖矿居然挖到了AAA 骚操作 第13张


黑猫之家

来黑猫之家看看呗

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright © 2015-2018 黑猫吧(www.heimaoba.cn) 赣ICP备18005425号-1