记一次服务器被当肉鸡挖矿的经历_web服务

 

 

前言

前一阵子,阿里云服务器促销,买了一台2G的主机来做测试学习用,搭好环境后基本就没怎么管它,最近发现CPU总是跑满,,于是按CPU消耗排序,排在第一的是一个名为“kdevtmpfsi”的进程,查了一下是一个挖矿木马,于是赶紧采取办法。

 

 

1查看CPU占用

 

Top 命令看了一下,有 1个 99% 的同名进程还在运行

记一次服务器被当肉鸡挖矿的经历_redis_02

 

看样子像是服务器被挂马了,首先应该检查服务器是否有可疑的定时任务。使用crontab -l命令来查看当前的服务器的定时任务。经检查后发现并无异常,只能看下这个进程的具体信息了。

 

2不管你是什么,统统Kill

 

废话不多说,直接kill这个线程。

 

ps -ef |grep kdevtmpfsi

 

直接kill -9 (PID) 把这个线程干掉了  过一阵子又回来了.....

甚至 find / -name kdevtmpfsi

发现 /tmp/kdevtmpfsi 这个文件

然后我们 rm -rf /tmp/kdevtmpfsi 把这个文件删除了

这么一小段时间会没有问题 可是过了一会儿这个线程就又启动了继续把cpu跑满了。

 

记一次服务器被当肉鸡挖矿的经历_远程控制_03

 

经过一番搜索,确定是服务器被当做“肉鸡”,被挖矿了

 

 

3“肉鸡”

记一次服务器被当肉鸡挖矿的经历_远程控制_04

 

 

此肉鸡非彼肉鸡。

 

电脑肉鸡是一种病毒。感染此病毒的电脑会受别人控制。你的电脑就因此成为别人砧板上的肉,别人想怎么吃就怎么吃,肉鸡(机)一名便由此而来。

 

肉鸡一般被黑客以各种不等价格出售。

 

记一次服务器被当肉鸡挖矿的经历_远程控制_05

要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。说到肉鸡,就要讲到远程控制。远程控制软件例如灰鸽子、上兴等。

 

肉鸡不是吃的那种,是中了木马,或者留了后门,可以被远程操控的机器,许多人把有WEBSHELL权限的机器也叫肉鸡。谁都不希望自己的电脑被他人远程控制,但是很多人的电脑是几乎不设防的,很容易被远程攻击者完全控制。

 

 

4控制肉鸡能干什么

 

看不惯哪个网站?操纵这些傀儡机器不停的请求该网站,让别人没法用,服务瘫痪,这就是传说中的DDoS攻击(分布式拒绝服务攻击)。

 

想赚点小钱,偷偷挖矿是你不二的选择,这么多肉鸡,虽然每一台计算能力不怎么样,但是联合起来也不容小觑。这种肉鸡俗称挖掘鸡

 

记一次服务器被当肉鸡挖矿的经历_定时任务_06

肉鸡做代理?这个话题我就不深说了,大陆敏感话题… …

窥探肉鸡主人数据… 

这么多肉鸡代表你有这么多IP,有大量IP能干什么?这又是另外一个庞大的话题了

 

5如何防治

 

1、更改系统管理员账户的密码,密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合;

2、更改远程登录端口并开启防火墙限制允许登录的IP,防火墙配置只开放特定的服务端口并对FTP、数据库等这些不需要对所有用户开放的服务进行源IP访问控制;

3、检查是否开放了未授权的端口

输入命令netstat–anp查看

4、安装专门的查杀病毒防木马软件,对服务器进行全盘病毒扫描和查杀;

5、假删除系统中未知账户,windows系统还需要检查注册表中的SAM键值是否有隐藏账户;

6、假如有WEB服务的,限制web运行账户对文件系统的访问权限,只开放仅读权限。

 

6解决服务器问题

 

找到进程后,我们追踪溯源,找到的并kill线程和它的守护线程。

然后直接kill - 9(Pid) 杀死这俩个线程
find / -name kdevtmpfsi
find / -name kinsing

记一次服务器被当肉鸡挖矿的经历_定时任务_07

7后记

 

相信通过上图的现实,你已经知道木马是怎么进来的了,是利用Redis端口漏洞进来的,它可以对未授权访问redis的服务器登录,定时下载并执行脚本,脚本下载文件并运行,进行系统监控、远程调用、内网传播等。所以除了执行上述操作,还要把未授权的redis服务设置密码,修改端口号等。所以各位小伙伴一定要,加强各个组件的安全加固,防止被入侵。做好安全防护,提高信息安全意识。

 

记一次服务器被当肉鸡挖矿的经历_服务器_08