今天分享一例:一台阿里云轻量应用服务器被入侵。
打开远程之后,发现cpu爆满,于是查看任务管理器:对cpu使用率倒叙排列,一个xmrig.exe高居榜首。这个名字拿来搜索一下,直接看到“挖矿”字样,因此不必过多追究,这显然就是中了挖矿病毒。
病毒有很多种,挖矿病毒仅仅属于其中一种,此类病毒并非而已破坏目的,而是出于“比特币”等虚拟币目的。it圈的朋友都知道,比特币曾经涨价到25000元人民币一个比特币的价值。然而历史低点,却有人2000比特币支付购买一个披萨的故事。
关于这台服务器的处置:
显然中了病毒就需要处理,此刻我在写这篇文章,但是我并没有立刻结束掉这个病毒进程,而是继续让他运行,拿来稍作学习:
通过windows的任务管理器,可以轻松右键追寻到文件位置,发现目录结构:C:\Users\Administrator\Music\x3m,可见这个病毒是通过类似于共享的功能到达服务器。然后启动运行的。
查看下文件:总共5个文件
config.json ,配置文件
start.cmd ,里面仅有3行命令,显然是启动命令
vps (3).exe ,往注册表添加了某些配置,好像是开机启动命令
xmrig.exe ,挖矿程序,就是他占用了全部cpu导致的服务器运行缓慢
xmrig-notls.exe
发现这个挖矿程序并不高明,配置文件里可以找到用户信息,账号的主人,便是这个病毒脚本的操作人,可能这个操作过程已经被制作为自动病毒自动程序了。
"url": "pool.supportxmr.com:5555","user": "8BMQGD2sK1fJ7YaAywrN9B5iNhar8SxRzc66cVRsKsgdJR4f5hPbtLfhoMRzFPf85m7LdERMhmnA2BMwEvMBjtmD7YPnKAr","pass": "x",