我运行一个专用服务器,最近我注意到 CPU 使用率很高,并检查了进程。似乎有人(mick 帐户)在我的服务器上挖矿。这怎么可能?过程如下。我已暂停帐户。我还需要做什么?
25516 mick 30 10 778m 6728 1132 S 740.5 0.2 8463:59 /tmp/sh64 -o stratum+tcp://multi1.wemineall.com:80 -u weedee.1 -p x --algo scrypt -B
phe*_*mer 11
如果您正在运行允许服务器端脚本(php、ruby 等)的 web 服务器,这很容易做到。
用户所要做的就是生成一个脚本,该脚本将文件下载到/tmp/sh64然后运行它。Web 脚本通常需要能够执行外部程序,因此此类活动很难阻止。
如果该mick帐户与用于运行用户的 Web 脚本的帐户相同,那么我会说不,您没有被黑客入侵。只是滥用其帐户的用户。
如果你想阻止这种行为,有几种方法可以阻止它。您可以禁止调用外部程序。或者您可以执行诸如终止长时间运行的程序(例如,任何运行时间超过 60 秒的程序)之类的操作。
如果不了解有关设置的更多详细信息,则很难确定最佳操作方案。
您的系统肯定已被破坏,或者最坏的情况是被黑客入侵。还有其他故事描述了正在安装的类似矿机。
我会采取这样的立场:您的系统已受到损害,并启动其中的所有关键内容,以便您在尚未备份的情况下对其进行备份。
如果您好奇他们是如何进入的,您需要获取已安装的服务(Web、MySQL 等)的完整列表,并查看是否存在任何允许某人获得提升权限的活动漏洞。
我将从任何基于网络的应用程序的网络支持开始。通常情况下,这些应用程序可能会发生缓冲区溢出并修改 Web 服务器的堆栈,以便安装其他应用程序。
事实上,这些类型的危害可能是孤立的事件,因此只需删除有问题的软件和恶意软件就足以将其根除,而无需花费时间来完全恢复/设置系统。
如果这个系统是使用基于 VPS 的映像构建的,那么我会与提供商合作,因为修补它似乎符合他们所有客户的最大利益。
盒子上的所有东西都必须经过仔细检查,而且本质上是不值得信任的,但我会花一些时间看看你是否无法弄清楚攻击者从哪里登录(如果有的话)。他们可能使用在破坏系统后添加到系统的 SSH 帐户进行登录。
这可能是一项艰巨的任务,需要花费很多天的时间来进行分析,特别是如果您不能信任包装盒上的任何工具来协助完成这项工作。我鼓励任何人花时间了解他们的系统是如何受到损害的,以便您可以降低未来再次发生这种情况的风险,至少通过这个特定的媒介。
如果这不是生产类型的问题,那么这实际上是一个很好的学习机会,可以深入了解系统如何受到损害以及潜在攻击者如何“利用”访问权限。
由于该系统用于采矿目的,因此他们很可能使用了自动脚本工具集,因为攻击足够多的系统来设置僵尸矿工似乎需要花费大量时间。当使用诸如此类的工具时,它们的构造通常很粗劣,只是只想做最低限度的工作来获得立足点,然后交付它们的有效负载(挖掘软件),因此您可能会幸运并获得一些额外的见解他们是如何进入的。
| 归档时间: |
|
| 查看次数: |
6095 次 |
| 最近记录: |