服务器出现入侵事件:挖矿进程——pool.minexmr.com的解决办法

2,289 阅读3分钟

最近发现云服务器特别卡,cpu负载爆满,于是重启完机器,立马登上去查看进程


1.查看进程

# top

找出CPU占有率高的你不认识的进程,我的是这样的

docker-cache -B --donate-level 1 -o pool.minexmr.com:443 -u 85X7JcgPpwQdZXaK2TKJb8baQAXc3zBsnW7+
masscan 206.94.0.0/16 -p 2375 -oL - --max-rate 360

干掉它

kill -9 4213 5161

2.查看云监控报警日志

该告警由如下引擎检测发现:文件路径:/proc/12878/root/tmp/kdevtmpfsi
恶意文件md5:1692020039cb723c351aa1a6a9b03fdc进程id:19,875
描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。
具体详情可查看帮助:https://helpcdn.aliyun.com/knowledge_detail/41206.htmlContainerName:distracted_coriContainerId:c5607dd23d6bd7fa431a54573342f60bb7efc9dfabd7ac42ef9d2c4feb20de74
ContainerInnerPath:/tmp/kdevtmpfsi

原因是我之前开放docker remote api 2375 端口,导致被黑客利用, 导致下载挖矿程序和扫描程序

3.查找docker 镜像

docker ps -a

这里面可以镜像ubuntu,在看下镜像id 可以报警的一致,

c5607dd23d6b ubuntu 对应挖矿的镜像

22b8359879f1 ubuntu:18.04 对应的是 扫描程序


接下来我们干掉这2个容器

[root@rancher tmp]# docker rm c5607dd23d6bc5607dd23d6b
[root@rancher tmp]# docker rm 22b8359879f122b8359879f1

然后我们在干掉这2个镜像

[root@rancher tmp]# docker rmi 4e5021d210f6
Untagged: ubuntu:18.04
Untagged: ubuntu@sha256:bec5a2727be7fff3d308193cfde3491f8fba1a2ba392b7546b43a051853a341d
Deleted: sha256:4e5021d210f65ebe915670c7089120120bc0a303b90208592851708c1b8c04bd
Deleted: sha256:1d9112746e9d86157c23e426ce87cc2d7bced0ba2ec8ddbdfbcc3093e0769472
Deleted: sha256:efcf4a93c18b5d01aa8e10a2e3b7e2b2eef0378336456d8653e2d123d6232c1e
Deleted: sha256:1e1aa31289fdca521c403edd6b37317bf0a349a941c7f19b6d9d311f59347502
Deleted: sha256:c8be1b8f4d60d99c281fc2db75e0f56df42a83ad2f0b091621ce19357e19d853

查看是否删除

docker images

重启服务

[root@rancher tmp]# service docker restart
Redirecting to /bin/systemctl restart docker.service

产看是否还有可疑进程

[root@rancher tmp]# ps -ef|grep masscan*root      6354 32056  0 11:28 
pts/1    00:00:00 grep --color=auto masscan*root     26255  1302  0 10:25 
pts/0    00:00:00 grep --color=auto masscan*
[root@rancher tmp]# 
[root@rancher tmp]# ps -ef|grep pool.minexmr.com*root      7593  1302  0 09:22 
pts/0    00:00:00 grep --color=auto -r pool.minexmr.comroot      8189  1302  0 09:24
pts/0    00:00:00 grep --color=auto -r pool.minexmr.comroot      8804 32056  0 11:29 
pts/1    00:00:00 grep --color=auto pool.minexmr.com*

发现可疑进程被干掉,搞定收工