服务器又被挖矿记录

写在前面

23年11月的时候我写过一篇记录服务器被挖矿的情况,点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。

而过了几个月没想到又被攻击,这次比上次攻击手段要更高明点,在这记录下吧。

发现过程

服务器用的是4090,i9-13900K,就我一个人在用,我也不跑什么大规模程序,按理说平常风扇基本不会一直响。今天来到实验室后发现风扇在狂转,过了一二十分钟后还是这样,我就意识到可能出了问题。

首先我看了眼桌面上占用资源较多的几个进程,没发现异常

而在上篇记录中,bash进程都超过了90多,只从这里看不出什么问题。

然后我又打开了资源管理器进一步查看

资源占用都不是很高,到这里还是看不出问题

我又回想起之前我同学又要用这个服务器跑程序(没错,又是他o(╥﹏╥)o),当时我就给了他一个公共用户,为了防止像上次一样被挖矿,我还特意改了下那个用户的密码。

但是由于他不在校园网范围内,所以走的是一个公网ip登的服务器,做了个端口映射。

我给他的用户是lab,由于他可能也要装软件,所以也给了sudo权限。

于是我查了下lab用户的进程

注意上面有几个可疑的地方

  • 有一个Python程序,还是从昨天开始运行的,但这个用户最近并没有人使用
  • 有一个远程ip:root@10.201.0.50,这就非常可可疑了,又没人使用,为什么会和一个远程ip有通信记录,还是ssh
  • 鼠标放到Python那个进程显示如下

大致是python -a kawpow -o 127.0.0.1:4444 -u RMsn.lab --no-watchdog --no-strict-ssl

由于我也不是专门的运维人员,也不懂这些参数是什么意思,于是问了下ChatGPT

由于关闭了资源占用监控,所以资源管理器看不出什么资源占用异常

至此,确信了服务器确实又被攻击了

处理方案

最保险的方法还是重装系统,但上面有很多资料,所以先按如下过程处理下,之后再多留意下

这里参照了这个文章的处理方法:点我查看

首先是last命令查看最近登录的有没有异常ip

这里也看不出什么,可能记录被删除了

然后看下命令的历史记录history 500,还是看不出什么

接着看下有没有什么定时任务

这里明显能看出有异常记录,进一步排查,看下这个定时任务的内容

这个脚本的作用是检查系统中是否有名为 javra 的进程在运行,如果没有,则执行 $locatie/root.sh 脚本,并将输出重定向到空设备,然后将这个任务放入后台执行。

而javara就是开头资源管理器中那个挖矿脚本,所以问题就在这里

去图中的/var/tmp/.log/.local目录看下有什么

这里我忘了截图了,该目录下放的就是javara还有其他脚本

把该目录下的文件都删除

之后在/var/tmp/.log还看到了lab的其他文件,为了以防万一,对所有以.开头的目录都执行了删除操作:find . -maxdepth 1 -type d -name ".?*" -exec rm -rf {} \;

之后使用crontab -e进入定时任务,把3个定时任务给删了

使用passwd lab更改用户密码

使用sudo deluser lab sudo命令删除lab用户的sudo权限

检查下.ssh 目录下 authorized_keys文件,为了以防万一,我将这个文件清空了


到这里,针对这次被攻击的处理便完成了,服务器的风扇也不再一直狂转了

之后如果还有什么问题,会再次记录的

相关推荐
phltxy5 小时前
LangChain从模型输出到RAG数据管道实战
服务器·人工智能·深度学习·语言模型·langchain
我星期八休息5 小时前
网络编程—应用层HTTP协议
linux·运维·开发语言·前端·网络·网络协议·http
一个天蝎座 白勺 程序猿6 小时前
从电网改造踩坑说起:深度拆解时序大模型TimechoAI的自主可控与安全合规底气
大数据·运维·服务器·大模型·timechoai
ShineWinsu6 小时前
对于Linux:UDPsocket编程基础的解析
linux·运维·网络协议·udp·ip·端口号·进程间通信
Spider Cat 蜘蛛猫7 小时前
Anthropic的skill-creator使用分享
运维·服务器
liulilittle8 小时前
论分布式系统的半开闭问题
服务器·网络·分布式·系统架构·竞态
cyforkk8 小时前
Vercel 绑定自定义域名极简配置指南
服务器·前端·网络
Yang961110 小时前
探索无线新视界:鼎讯信通DXMP系列频谱仪模块深度剖析
运维·网络
wangbing112510 小时前
JPA下自定义主键
java·linux·服务器
杨了个杨898210 小时前
Docker Compose 简介及应用
运维·docker·容器