V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
VisionTheta
V2EX  ›  程序员

服务器被挖矿程序入侵了,请教下如何抓住凶手

  •  
  •   VisionTheta · 2018-09-07 10:21:31 +08:00 · 6719 次点击
    这是一个创建于 2270 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨晚睡觉前开心地等待训练好的模型分数上涨,结果今天看 tensorboard 竟然发现曲线没有变化,仔细看,昨晚 3 点多模型就掉了。

    登陆系统,发现,原来昨晚有 root 账户登陆系统 在三点半的时候,进来操作了半个小时。用的登陆 IP 是 172.18.*.*的内网 IP. 在看一下 CPU, 40 线程的系统,load average 一直在 25 左右。

    看了一下进程,有一个.cnrig ( 程序 https://github.com/cnrig/cnrig)的程序竟然在挖矿,已经挖了 3 个多小时了吧。

    想跟大家请教下,我能怎么抓住这次侵入的凶手呢?我能想到的,我现在知道了内网某台机器存在弱口令,另外,也许我可以找到挖矿钱包的地址。除此以外,好像也做不了什么了。还有,请问大家报警有用吗?

    另外,向大家请教下,有用的防护手段,我现在用的改用密钥而不是密码登陆系统。可能采用的有:禁用 root 账户,加 fire2ban, 但是内网一般是默认允许登陆的,或者加白名单。

    谢谢大家了。
    12 条回复    2018-09-07 13:47:50 +08:00
    gamecreating
        1
    gamecreating  
       2018-09-07 10:24:12 +08:00
    内鬼
    VisionTheta
        2
    VisionTheta  
    OP
       2018-09-07 10:31:26 +08:00
    @gamecreating 我觉得内鬼的可能性比较小。这个服务器一直没什么人用。而且 root 账户更是没人使用。自己有自己的用户名。另外,半夜三点多操作半小时,这在过往的登陆历史中,这样的用户非常少见。
    v2410117
        3
    v2410117  
       2018-09-07 10:37:17 +08:00
    这个很正常啊,你能做的就是 kill 掉程序,把机器加固,防止再次中招
    之前我的机器因为 redis 没密码被挖矿,也只能自个处理了算了!毕竟这种东西 jc 怎么会管你
    反正我觉得通过被入侵发现自己哪里防护不足,算是收获吧!
    jjc27017
        4
    jjc27017  
       2018-09-07 10:47:06 +08:00
    检查 crontab 之类的,看有没有其他后门进程,监控进程,更换 ssh 端口,用公私钥登录,开防火墙,去掉不知名的进程。需要检查的是有没有进程残留和监控进程,然后时不时留意一下 CPU 使用高的那些进程有没有异常。
    VisionTheta
        5
    VisionTheta  
    OP
       2018-09-07 10:50:45 +08:00
    @jjc27017 我刚才看了 auth.log 发现 crontab 好像会触发 root 用户来执行用户的任务? 确实是刚开 crontab 没多久,就中招了。另外,这个 auth.log 显示确实是在扫描弱口令,而且,入侵完我的机器还在扫描。另外,貌似把自己机器的密钥加进去了,还把密钥存储的位置给改了。。我觉得就是有一套工具完成这一套的流程的。。
    natforum
        6
    natforum  
       2018-09-07 10:53:12 +08:00
    内网放个蜜罐服务器
    blacklee
        7
    blacklee  
       2018-09-07 11:08:33 +08:00
    采用以下策略,是否足够安全?
    1. 禁用 root 远程登录
    2. 禁用密码、只允许用密钥登录
    yanyuechuixue
        8
    yanyuechuixue  
       2018-09-07 12:13:33 +08:00 via Android
    看下钱包地址是不是矿池的,如果是,就联系下矿池看看能不能获取他的联系方式或封掉他。

    如果不是矿池,
    google 搜索一下这个地址看看有没有啥发现。

    如果什么发现都没有,就监控这个地址,看他和哪些地址坐了交易,然后去查那些地址。

    也许我还年轻,遇到这种事就像不惜代价玩死他
    1747479654
        9
    1747479654  
       2018-09-07 12:32:00 +08:00
    很多矿池的钱包地址都是私有钱包生成,你根本无法封掉.

    唯一可行办法是追踪交易,但是别人只要混合交易了几次(就是洗币)你也没戏.
    qwa2013
        10
    qwa2013  
       2018-09-07 12:32:25 +08:00
    @yanyuechuixue 没啥卵用老哥 xmr 可以隐藏转账记录。。。。
    mistergo
        11
    mistergo  
       2018-09-07 12:41:50 +08:00
    我们的服务器好像也有这个问题。每天凌晨 3 点左右开始。。。
    jadec0der
        12
    jadec0der  
       2018-09-07 13:47:50 +08:00 via Android
    XMR 的话基本没办法从钱包地址查到,好好加固服务器吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   885 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:38 · PVG 04:38 · LAX 12:38 · JFK 15:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.