当前位置：首页 > news >正文

服务器又被挖矿记录

news 2025/9/9 23:16:52

写在前面

23年11月的时候我写过一篇记录服务器被挖矿的情况，点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。
而过了几个月没想到又被攻击，这次比上次攻击手段要更高明点，在这记录下吧。

发现过程

服务器用的是4090，i9-13900K，就我一个人在用，我也不跑什么大规模程序，按理说平常风扇基本不会一直响。今天来到实验室后发现风扇在狂转，过了一二十分钟后还是这样，我就意识到可能出了问题。
首先我看了眼桌面上占用资源较多的几个进程，没发现异常
在这里插入图片描述
而在上篇记录中，bash进程都超过了90多，只从这里看不出什么问题。
然后我又打开了资源管理器进一步查看

资源占用都不是很高，到这里还是看不出问题

我又回想起之前我同学又要用这个服务器跑程序(没错，又是他o(╥﹏╥)o)，当时我就给了他一个公共用户，为了防止像上次一样被挖矿，我还特意改了下那个用户的密码。
但是由于他不在校园网范围内，所以走的是一个公网ip登的服务器，做了个端口映射。
我给他的用户是lab，由于他可能也要装软件，所以也给了sudo权限。
于是我查了下lab用户的进程
请添加图片描述
注意上面有几个可疑的地方

有一个Python程序，还是从昨天开始运行的，但这个用户最近并没有人使用
有一个远程ip：root@10.201.0.50，这就非常可可疑了，又没人使用，为什么会和一个远程ip有通信记录，还是ssh
鼠标放到Python那个进程显示如下

请添加图片描述
大致是python -a kawpow -o 127.0.0.1:4444 -u RMsn.lab --no-watchdog --no-strict-ssl
由于我也不是专门的运维人员，也不懂这些参数是什么意思，于是问了下ChatGPT
在这里插入图片描述
由于关闭了资源占用监控，所以资源管理器看不出什么资源占用异常
至此，确信了服务器确实又被攻击了

处理方案

最保险的方法还是重装系统，但上面有很多资料，所以先按如下过程处理下，之后再多留意下

这里参照了这个文章的处理方法：点我查看

首先是last命令查看最近登录的有没有异常ip

在这里插入图片描述

这里也看不出什么，可能记录被删除了

然后看下命令的历史记录history 500，还是看不出什么

接着看下有没有什么定时任务
请添加图片描述
这里明显能看出有异常记录，进一步排查，看下这个定时任务的内容

这个脚本的作用是检查系统中是否有名为 javra 的进程在运行，如果没有，则执行 $locatie/root.sh 脚本，并将输出重定向到空设备，然后将这个任务放入后台执行。

而javara就是开头资源管理器中那个挖矿脚本，所以问题就在这里

去图中的/var/tmp/.log/.local目录看下有什么
这里我忘了截图了，该目录下放的就是javara还有其他脚本

把该目录下的文件都删除

之后在/var/tmp/.log还看到了lab的其他文件，为了以防万一，对所有以.开头的目录都执行了删除操作：find . -maxdepth 1 -type d -name ".?*" -exec rm -rf {} \;

之后使用crontab -e进入定时任务，把3个定时任务给删了

使用passwd lab更改用户密码

使用sudo deluser lab sudo命令删除lab用户的sudo权限

检查下.ssh 目录下 authorized_keys文件，为了以防万一，我将这个文件清空了

到这里，针对这次被攻击的处理便完成了，服务器的风扇也不再一直狂转了
之后如果还有什么问题，会再次记录的

服务器又被挖矿记录

写在前面

发现过程

处理方案

相关文章：

服务器又被挖矿记录

嵌入式学习day34 网络

欧科云链：角力Web3.0，香港如何为合规设线？

Android SDK2 （实操三个小目标）

数字编码与字符编码：解锁编程世界的基石

C语言-写一个简单的Web服务器(一）

MySQL底层原理

复盘-word

Vue中的组件：构建现代Web应用的基石

【从部署服务器到安装autodock vina】

如何使用ArcGIS Pro进行坡度分析

Vue3.2 + vue/cli-service 打包 chunk-vendors.js 文件过大导致页面加载缓慢解决方案

Java学习笔记NO.18

【JVM】聊聊垃圾回收之三色标记算法

鸿蒙Harmony应用开发—ArkTS声明式开发（基础手势：Image）

华为OD面试分享8（2024年）

Java的堆如何分代的？

C# CallerMemberName、CallerFilePath、CallerLineNumber

Claude3系统解读与使用测评

vue3注册全局组件

地震勘探——干扰波识别、井中地震时距曲线特点

Java-41 深入浅出 Spring - 声明式事务的支持事务配置 XML模式 XML+注解模式

稳定币的深度剖析与展望

MySQL账号权限管理指南：安全创建账户与精细授权技巧

python报错No module named ‘tensorflow.keras‘

C++.OpenGL （14/64）多光源（Multiple Lights）

【MATLAB代码】基于最大相关熵准则（MCC）的三维鲁棒卡尔曼滤波算法（MCC-KF），附源代码|订阅专栏后可直接查看

论文阅读：LLM4Drive: A Survey of Large Language Models for Autonomous Driving

前端高频面试题2：浏览器/计算机网络

加密通信 + 行为分析：运营商行业安全防御体系重构