黑客攻击电脑挖矿(电脑被黑客挖矿)

hacker|
101

服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了,发觉如下信息:

1、 top -d 5命令 ,查看系统负载情况、是否有未知进程,发现一个名为kdevtmpfsi的进程,经科普它是一个挖矿程序,会占用服务器高额的CPU、内存资源。如图,CPU占用率高达788.7%,而且是yarn用户下:

2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径:/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息(此时我的服务器并没有开启yarn服务,如果有yarn的相关进程则可判断是攻击者开启的进程),发现另外还有个kinsing进程,经科普kinsing进程是kdevtmpfsi的守护进程:

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip,判断是kdevtmpfsi的发出者:

5、经查询该ip的所在国家是俄罗斯:

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除:

7、 cd /tmp 进入相关目录:

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序:

9、** kill -9 40422**杀掉kdevtmpfsi进程:

10、发现并没杀掉所有kdevtmpfsi进程,再次查找yarn的相关进程(因为之前已确认病毒是在yarn下),果真还有kdevtmpfsi进程存在:

11、用命令 批量杀掉 相关进程:

12、删除kinsing文件:

13、现在,已经把挖矿程序及相关进程删除掉了,但是还有两处没做处理:

14、 crontab -l 命令先看看crontab的定时任务列表吧:

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh :

16、新增 定时任务 并删除攻击者的挖矿定时任务:

17、 crontab -l命令 查看现在只有杀进程的定时任务了:

18、禁止黑客的IP地址。

最初安装MongoDB时,并未设置密码认证,存在漏洞,导致黑客通过漏洞攻击服务器,并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的,治标不治本,应该定时删除病毒进程,禁止攻击者IP,重新安装系统或相关软件。

经过几天的观察,服务器运行正常,再没有被黑客攻击成功。

新电脑病毒来袭:中招电脑会偷偷的挖矿给黑客赚钱

据华尔街日报消息,一种名为Adylkuzz的病毒正在蔓延,和近日在全球爆发的WannaCry勒索病毒不同的是,该病毒不会锁定用户的屏幕,也不会对用户的电脑进行加密,但它能够在用户毫不知情的情况下悄然占据电脑处理器资源,偷偷生产一种类似于比特币的数字货币。

据美国知名网络安全公司Proofpoint披露,该病毒早就在两星期以前就开始传播了,截至本周三已在全球感染了超过15万台的计算机,在一次攻击案例中,该病毒已经为黑客赚取了2.2万美元的非法获利。

值得注意的是,Adylkuzz病毒出现的时间其实要比WannaCry勒索病毒更早,而且和WannaCry勒索病毒有极其惊人的相似之处,那就是都是利用微软的系统漏洞进行传播的,只不过该病毒一直都在暗处进行操作的,所以没有引起人们多大的注意力。

而此次WannaCry勒索病毒的爆发,才让Adylkuzz病毒浮出了水面,如果不是一些网络安全公司发现,很多用户都不知道自己的电脑其实早就遭到了该病毒的攻击。

据了解,该病毒具备一定的隐藏性,用户即便是中招也很难发现,用户遭到攻击后也不会轻易察觉,该病毒能够偷偷占据电脑的处理器资源,生产一种罕见的Monero数字货币。该数字货币和比特币挖矿相类似,而且即便通过该数字货币的交易记录也无法追踪到送款人或收款人,外界只能查看到其中的交易金额,而无法得知具体的流向。

由于近几日爆发的电脑病毒基本都是利用系统漏洞进行传播,而且其主要的攻击对象都是过时的操作系统,因此安全研究人员建议用户,请务必将自己的电脑系统升级到最新版本,并禁用服务器的消息块服务。

目前,即便是WannaCry勒索病毒已经爆发了一段时间了,但安全业界暂时并没有有效破解该勒索病毒恶意加密行为的办法。

因此笔者建议,所谓狡兔三窟,在这个电脑病毒频繁爆发的时日,请务必给自己的重要数据做好备份,笔者虽然并未遭遇电脑病毒,但不只一次的遭受过数据丢失带来的困扰,因此笔者的做法就是重要数据备份到移动硬盘和U盘等,做好多备份的准备。

在这里,笔者也建议,有条件的话请尽量将自己的电脑更新到诸如WIN10创意者更新等最新的系统版本,打开系统自带的防火墙系统,随时更新安装官方推算的系统补丁。

实在做不到以上几点的话,用户可以先断网再开机,就是先拔掉网线然后开机,这样一来基本能够避免被勒索病毒感染,同时注意备份重要数据,不要打开不明链接、文件和邮件,尽量想办法给自己的电脑打上安全补丁。

原创声明:本文(不含图片)由文栋说自媒体网站原创,享有独立版权,如需转载敬请带上本段版权,本站对一切转载不保留版权的行为追究法律责任!

非法挖矿是什么情况?

这个主要是因为现在虚拟币的盛行,很多黑客利用木马程序,侵占别人的电脑资源进行挖矿的行为,腾讯电脑管家2017年就有说过这个事情的!

3条大神的评论

  • avatar
    访客 2022-12-23 下午 05:16:21

    下: 2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径:/tmp/kdevtmpfsi 3、 ps -ef |grep yarn 命

  • avatar
    访客 2022-12-23 下午 12:58:53

    高额的CPU、内存资源。如图,CPU占用率高达788.7%,而且是yarn用户下: 2、 ps -ef |grep kdevtmpfsi 命令查看 该挖矿程序路径:/tmp/kdevtmpfsi 3、 ps -ef |grep yarn 命令查看更多

  • avatar
    访客 2022-12-23 下午 05:26:29

    洞攻击服务器,并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的,治标不治本,应该定时删除病毒进程,禁止攻击者IP,重新安装系统或相关软件。 经过几天的观察,

发表评论