记录一次服务器被入侵的解决方法 一:问题说明 1.我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况(top 命令),看到一个名为minerd的进程占用了99.5%的CPU  2.minerd是个挖矿程序,什么是“挖矿”,特此百度了一下, 所谓“挖矿”实质上是用计算机解决一项复杂的数学问题,来保证比特币网络分布式记账系统的一致性.比特币网络会自动调整数学问题的难度,让整个网络约每10分钟得到一个合格答案.随后比特币网络会新生成一定量的比特币作为赏金…

区块链的火热,利益驱使必然导致不少PC或Server,被变成肉鸡,执行挖矿程序进行挖矿,进而导致我们正常的程序无法正常. (Centos7 Server)使用top命令查看服务器进程运行情况,发现几个较诡异进程.CPU战用长期居高不下,系统负载load average值更是高出平时近百倍,且进程运行在一个原本并不存在的用户上.系统遭入侵是必然的,并且运行着占用巨大算力的程序,联想到之前由此阿里云主机有过一次矿机入侵经历,想必这次挖矿程序入侵已是大概率事件. 下面要做的就是找出挖矿程序,清除并提升…

原因是由于Kubernetes Apiserver不安全配置所致,Apiserver提供了资源操作的唯一入口,并提供认证.授权.访问控制.API注册和发现等机制,所以apiserver的安全至关重要. 解决方法步骤 可通过kubectl get rc y1ee115 -o yaml  看到挖矿程序yaml文件 1.杀死挖矿程序 #pkill -9 xmrig 或者 #kill -9 进程号 2.删除相关rc,命令如下 #kubectl delete rc y1ee115 3.firewalld防…

突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下: root 386m S : /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM3vDWEHcmsMoEMW3YYsbGUwQSrNDfgMKVV8GAofT root 3448m 292m 14m S :02.07 /usr/java/default/bin/java -Xm…

现在比特币的价格涨得很高,所以现在有黑客专门制造挖矿木马来诱导网友,从而达到控制电脑上的显卡来挖掘比特币.为什么木马要控制电脑中的显卡呢?因为显卡挖掘虚拟货币比特币的效率远比 CPU 要高.如果你是一位 3D 游戏玩家,正好中了比特币挖矿木马,就会发现在玩游戏时会非常卡顿. 那么,跟我们今天提到的挖矿minerd进程又有何关系呢? 发现问题 最近一台安装了Gitlab的服务器发生了高负载告警,Cpu使用情况如下: 让后登录到服务器,利用top查看CPU使用情况,这个叫minerd的程序消耗cpu…

阿里云kubernetes被minerd挖矿入侵 # kubectl get rc mysql1 -o yaml apiVersion: v1 kind: ReplicationController metadata: creationTimestamp: 2017-09-07T07:21:43Z generation: 1 labels: app: mysql1 name: mysql1 namespace: default resourceVersion: "12180788" s…

摘要 : 最近有些用户反映某个Chrome插件在安装的时候,提示"只能通过Chrome网上应用商店安装该程序",为了解决这一问题,Chrome插件网带来了相关的解决方法. 某些用户在Chrome插件网下载了Chrome插件后,不知道怎么才能把它安装到Chrome浏览器中,用户可以根据本站提供的教程:怎么在谷歌浏览器中安装.crx扩展名的离线Chrome插件?把下载后的扩展名为crx的Chrome插件安装到谷歌浏览器中. 但是,由于一些特殊原因,极个别Chrome插件在使用上述的安装方法…

通过改变计算机策略来解决“只能通过Chrome网上应用商店安装该程序”的方法及模版文件下载 操作步骤 1.开始 -> 运行 -> 输入gpedit.msc -> 回车确定打开计算机本地组策略编辑器(通过Win + R快捷键可以快速打开运行),如图所示: 2.在打开的本地组策略编辑器中,在左侧的树形菜单中,依次展开:计算机配置->管理模版,并右键点击管理模版,并点击添加/删除模版按钮,如图所示: 3.在添加/删除模版的弹出窗口中,点击添加按钮,并选择从Chrome插件网上下载的chr…

前几天发现服务器报警,cpu使用率已达100%,查资料知道正是最近比较流行的挖矿程序在捣鬼.我们使用的是阿里云的服务器,操作系统是windows server.网上有大量的资料讲如何处理,我把自己处理的思路以及实践过程和大家分享. 1 关闭危险端口 这一步主要是杜绝重复感染,一般挖矿程序都是利用服务器的端口漏洞,将程序放到了服务器上,关闭端口,防止程序重复放到服务器,这样我们就可以关起门来收拾服务器上的挖矿程序了.如何关闭139端口及445端口等危险端口. 参考文章:https://jingya…

此次服务器被植入挖矿程序发现起来较为巧合,首先是上周三开始,我通过sonatype/nexus3搭建的仓库间歇性崩溃,但是每次重新start一下也能直接使用所以没有彻底清查,去docker logs里查看发现是执行bash命令和powershell命令出错,没有想明白是什么原因. 后来恰好ES更新7.0版本了,我一看“呦呵,7.0里面连type都没有了?”赶紧跟个风,于是把我运行很长时间的ES5.6+kibana5.6的镜像删除了,去官网pull了最新的ES和kibana镜像.在启动的过程中ES…