开发者社区> 网站安全者> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

客户的Linux服务器中了挖矿木马攻击 CPU瞬间达到%100

简介: 新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
+关注继续查看
 新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接

服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般

会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这

就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客

户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
 
 
SSH远程登录客户的Linux服务器,查看当前的进程发现有一个特别的进程占用了百分之100

的CPU,而且会持续不断的占用,我们查了查该进程,发现不是linux的系统进程,我们对进程

的目录进行查看,发现该进程是一个木马进程,再仔细进行安全分析,才确定是目前最新的挖

矿木马病毒,挖的矿分很多种,什么比特币,什么罗门币的,太多太多,看来现在的挖矿技术

扩展到了入侵服务器进行肉鸡挖矿了。
 
挖矿木马的检测与清除
 
我们在系统的目录下发现了挖矿木马主要是以 Q99.sh命名的文件来控制客户的linux服务器,看

里面写的代码是以root权限运行,并自动启动计划任务,当服务器重启时继续执行计划任务,

导致客户怎么重启都于事无补,还是卡的要命。该木马代码还调用了一些Linux系统命令,bashe

bashd来挖矿,该命令是最直接也是占用CPU到顶峰的关键,太粗鲁了,这样的挖矿本身就会让

客户发现问题,看来挖矿者只顾着赚钱,不考虑长久之道了。
 
 
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,

仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查

当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
 
 
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病

毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,

客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击

状况。
 
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开

发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重

的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,

SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器

一切稳定运行,网站打开正常。

客户的Linux服务器中了挖矿木马攻击 CPU瞬间达到%100

专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux资源控制-CPU和内存【转】
转自:http://www.cnblogs.com/wang_yb/p/3942208.html 主要介绍Linux下, 如果对进程的CPU和内存资源的使用情况进行控制的方法。   CPU资源控制 每个进程能够占用CPU多长时间, 什么时候能够占用CPU是和系统的调度密切相关的.
777 0
Linux RPM包管理-rpm命令
Linux RPM包管理-rpm命令
26 0
Linux RPM包管理-yum命令
Linux RPM包管理-yum命令
33 0
linux系统中ls命令的用法
普通文件: -,f目录文件: d链接文件(符号链接): L设备文件:字符设备:c块设备:b命名管道: p套接字文件: s linux文件时间戳 时间分为三种类型:创建时间,修改时间:open访问时间:读写改变时间:源数据发生改变时间   4. ls -s 在每个文件的后面打印出文件的大小。
1554 0
Linux命令总结【待续】
1.打包:  tar -czf small.tar.gz small(目录名)  ;压缩并打包目录  2.解包: tar zxvf 文件名  date -s 2015 2 12 修改时间 cp name cp  -rf  name # pwd#Desktop/test1/cp .
875 0
linux 查看系统信息命令(比较全)
linux 查看系统信息命令是linux初学者必备的基础知识, 这些命令也非常有用, 因为进入linux第一件事就可能是首先查看系统信息, 因此必要的系统的学习一下这些linux系统信息命令还是非常有必要的! 下面给除了各linux发行版比较常用的系统信息查询的命令, 大家可以参考, 同时也可以...
1282 0
每一个程序员需要了解的10个Linux命令
作为一个程序员,在软件开发职业生涯中或多或少会用到Linux系统,并且可能会使用Linux命令来检索需要的信息。本文将为各位开发者分享10个有用的Linux命令,希望对你会有所帮助。 以下就是今天我们要介绍的Linux命令: man touch, cat and less sort and grep cut sed tar find diff uniq chmod 接下来让我们逐一来详细介绍。
697 0
+关注
网站安全者
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题防入侵防篡改,对代码审计以及漏洞修补安全加固有专业的十年实战经验.
文章
问答
文章排行榜
最热
最新
相关电子书
更多
ECS系统指南之Linux系统诊断
立即下载
ECS运维指南 之 Linux系统诊断
立即下载
从 Linux 系统内核层面来解决实际问题的实战经验
立即下载