【重要&紧急】已有多个服务器被攻击,服务器被挖矿木马攻击的解决方式及预防教程

MySQL关系型数据库数据库管理服务

picture.image

picture.image

  1. 近日发现多个小伙伴的服务器,被挖矿程序攻击。服务器内被注入了大量文件和挖矿程序,导致服务器CPU占用极高、导致卡顿和死机。高占用时,甚至登不进去宝塔面板,无法处理。
  2. 黑客使用的是遍历 攻击,如果你没有防护,被攻击可能只是时间问题。
  3. 所以,在玩机器人教程的同学,一定要进行安全设置。
  • 如果你使用的是云服务器,当你被攻击时,你大概率会收到这样的短信。

picture.image

picture.image

kswapd0 与挖矿木马有关,这是一种在Linux服务器上运行的恶意软件,它利用服务器资源进行加密货币挖矿,通常会导致CPU使用率飙升。这种木马可能会创建多个进程和定时任务(cron jobs)来保持其在系统上的持久性,并且可能会监听某些端口以接收远程指令或传输挖矿所得。在某些情况下,它还可能包含SSH爆破攻击程序,用于尝试破解其他服务器的SSH密码。

一、首先进行自查,你有没有被攻击:

1.查看cpu占用,如果占用很高,那大概率已经是被攻击了。

宝塔首页:

picture.image

picture.image

2、终端输入以下命令。

  
top

输入后会自动显示cpu占用排序,查看是否有kswapd0进程,如图。

picture.image

picture.image

3、去根目录下,查看这个文件路径,是否存在kswapd0文件

  
tmp/.X291-unix/.rsync/a/kswapd0

如果都没有发现,那么你就还没有被攻击。根据下放教程设置密码即可。如果有发现,那么你需要清理挖矿程序,并根据下方教程设置密码。

二、如果没有被攻击

1、设置服务器强密码,不要设置简单密码。

picture.image

picture.image

picture.image

picture.image

2、修改MySQL密码(如果你有安装的话)

· 1、停止MySQL服务(根据您的操作系统,命令可能有所不同):

  
sudo systemctl stop mysqld

· 2、以无验证模式启动MySQL服务

  
sudo mysqld\_safe --skip-grant-tables &

· 3、登录到MySQL:

  
mysql -u root

· 4、选择mysql数据库,然后刷新权限(把代码中,需要改成新密码的地方,改了)

  
FLUSH PRIVILEGES; USE mysql; UPDATE user SET authentication\_string=PASSWORD('这里填写你的新密码') WHERE User='root' AND Host='localhost'; FLUSH PRIVILEGES;

· 5、退出MySQL:

  
quit

· 6、重启MySQL服务:

  
sudo systemctl start mysqld

· 7、输入一下代码,然后使用新密码登录。

  
mysql -u root -p

8、登录上既完成,下图是完整的操作示例。

picture.image

picture.image

· 注意(如果你使用了FastGPT,需要去更新一下配置文件中的密码。如图

picture.image

picture.image

三、如果已经被攻击

1、终端输入以下命令:

  
top

picture.image

picture.image

2、 记住此时kswapd0的PID , 也就是第一列,在这里是3092

然后按ctrl+c 退出top命令

3、输入以下命令,(3092 替换成你的 PID)

  
Kill -9 3092

此时刷新宝塔或者top命令再查看,会发现cpu占用恢复正常

4、查看恶意程序创建的定时任务,输入以下命令查看

  
crontab -l

picture.image

picture.image

如果你本身没有创建定时任务的话,那么输出的定时任务就全部是恶意程序创建的

五个定时任务都是挖矿程序植入的,有两个是服务器启动就会自动运行的

5、它们都来自两个文件夹下,所以运行以下命令删除:

  
rm -rf /tmp/.X291-unix/.rsync/*  
rm -rf /root/.configrc5/*

这个时候,挖矿的程序、以及文件、还有自启任务都被清除掉了,就要检查是否被恶意程序留有后门,通常都是使用公钥免密的方式登录的root账户

6、使用以下命令直接删除公钥:

  
rm -rf ~/.ssh/authorized\_keys

四、最后

1、通常这种挖矿程序都是通过 程序遍历 redis /mysql/mongo 等数据库/中间件来进行注入恶意程序的,所以建议在设置密码(包括服务器root用户)的时候,不要设置弱口令,密码最好大小写、数字都有。

2、服务器尽量避免直接使用root用户登录,可以创建一个新用户,用来登录,需要root权限时,使用sudo临时获取

3、求个关注 /狗头

0
0
0
0
关于作者
关于作者

文章

0

获赞

0

收藏

0

相关资源
云原生数据库 veDB 核心技术剖析与展望
veDB 是一款分布式数据库,采用了云原生计算存储分离架构。本次演讲将为大家介绍火山引擎这款云原生数据库的核心技术原理,并对未来进行展望。
相关产品
评论
未登录
看完啦,登录分享一下感受吧~
暂无评论