아리운 서버 채굴 바이러스 minerd***의 해결 방법

아침에 출근해서 평소처럼 서버에 대해 정례적으로 순찰을 했는데 아리운 서버의 CPU 자원이 매우 높은 것을 발견했습니다. 도대체 어떻게 된 일입니까? 서둘러 top 명령으로 살펴보니 마이너드라는 프로세스가 높은 CPU 자원을 점용한 것을 발견했습니다. 마이너드는 전에 들었는데 광물 바이러스라고 들었습니다. 제가 맡은 서버에서 이런 바이러스가 발생할 줄은 몰랐습니다. 빨리 해결 방법을 찾으세요.다음은 제가 마인드를 죽이는 과정입니다. 여러분께 도움이 되었으면 좋겠습니다.
단계는 다음과 같습니다.
 
1. 채굴 서버에 대한 액세스를 닫습니다.
[root@fuwuqi~]# iptables -A INPUT -s xmr.crypto-pool.fr -j DROP  
[root@fuwuqi~]# iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

2. 정시 작업 보기
[root@fuwuqi ~]# cd /var/spool/cron/
[root@fuwuqi cron]# ll
-rw------- 1 root root 263 Nov  2 23:24 root
[root@fuwuqi cron]# cat root
[root@fuwuqi ~]# cd /var/spool/cron/crontabs
[root@fuwuqi crontabs]# ll
-rw------- 1 root root 263 Nov  2 23:24 root
[root@fuwuqi cron]# cat root

참고:
(1)/var/spool/cron/root와/var/spool/cron/crontabs/root 정시 작업에 그림과 같은 정시 내용이 있으면 위의 정시 작업을 삭제합니다.다시 한 번 상기 그림의 정시 작업만 삭제하면 됩니다. 다른 정시 작업은 함부로 삭제하지 말고 오삭제하면 결과에 대해 스스로 책임을 져야 합니다.
(2) 모든 Minerd 바이러스 서버에 정시 작업이 있는 것은 아니다. 내가 만났을 때 정시 작업이 없다. 위에서 말한 것은 정시 작업이 발생하는 해결 방법이다.
3. 채굴 프로그램minerd 찾기
[root@fuwuqi cron]# find / -name minerd*
/tmp/minerd

4. 채굴 프로그램minerd의 실행 권한 취소
[root@fuwuqi cron]# cd /tmp
[root@fuwuqi tmp]# chmod -x minerd

주의: 근원을 찾지 못하기 전에minerd를 삭제하지 마십시오. 삭제하면 한 번 지나면 자동으로 하나가 생성됩니다.
5、minerd 프로세스 죽이기
[root@fuwuqi tmp]# pkill minerd
[root@fuwuqi tmp]# rm minerd                          // minerd 

top 명령을 사용하여 보십시오.minerd 프로세스가 사라진 것을 발견했습니다. 몇 분 후에 프로세스가 다시 일어나지 않았습니다. 채광 프로그램minerd가 사라졌습니다. 정말 기쁩니다!
6. 요약: 서버에 redis가 설치되었기 때문에 ***는 redis의 빈틈을 이용하여 서버에 접근할 수 있는 권한을 얻었다.
7. 권장 사항은 다음과 같습니다.
(1)redis 설정 복원
a. bind 옵션을 설정하여 Redis 서버에 연결할 수 있는 IP를 제한하고 Redis의 기본 포트 6379를 수정합니다.
b. AUTH를 설정하고 비밀번호를 설정하면 비밀번호는 redis 프로필에 명문으로 저장됩니다.
c. rename-command CONFIG'RENAME_CONFIG'를 설정하면 권한이 부여되지 않은 접근이 있어도 ***자에게 config 명령을 사용하여 난이도를 높일 수 있습니다
(2) 열기/root/.ssh/authorized_키스, 모르는 계정 삭제.
(3) 모르는 사용자가 추가되었는지 사용자 목록을 보십시오.있으면 삭제해.

좋은 웹페이지 즐겨찾기