挖矿服务商被黑客攻击（服务器挖矿程序攻击如何解决）

1年前 (Jan 9,2023) 136 hacker 数据提取

本文目录一览：

1、服务器受到黑客攻击怎么办？
2、服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马
3、比特币挖矿平台被入侵情形如何？
4、服务器被黑客攻击怎么办

服务器受到黑客攻击怎么办？

1、屏蔽攻击源ip地址，从源头上堵死流量来源

登录cpanel后台，找到”日志”“访客”

仔细分析下里面的访客IP,如果某一IP地址在短时间内有大量的数据，可以考虑屏蔽掉。通过”访客”这个目录进去，数据太多，并且都是网页版本的，分析起来比较麻烦。另外一个方法是点击”日志”“原始访问日志”，下载压缩包并解压，使用文本编辑器打开分析。

使用这种方式也有一定的缺陷。攻击者敢于攻击，肯定也想到了一定的规避措施。在分析ip地址的时候，我们不仅仅判断同一个ip地址，更要判断出同一类型的ip地址。ip地址分为三类型，A类，B类，C类。判断一个IP地址属于哪个类型，只需要看ip地址的第一个字节。A类IP的地址第一个字段范围是0~127，B类地址范围：128.0.0.1到191.255.255.254，C类地址的第一组数字为192～223。如果两个ip地址不同，但是属于同一类型的ip地址，并且网络号一样，那么也是我们要考虑过滤的ip地址。

这种方式也会有一定的误判，只在非常时期使用。现在很多人刷流量使用流量精灵等软件来刷，ip都是代理的，很难找到元凶。

2、向百度站长平台提交异常报告,附加上相关截图

3、使用杭州超级科技的超级防护盾

百分百防御cc攻击，无上限防御ddos攻击！价格划算，可以试用看效果说话！欢迎搜索咨询！

挖矿服务商被黑客攻击（服务器挖矿程序攻击如何解决）

服务器被攻击并植入kdevtmpfsi挖矿/病毒/木马

MongoDB库中的数据莫名其妙没有了，发觉如下信息：

1、 top -d 5命令，查看系统负载情况、是否有未知进程，发现一个名为kdevtmpfsi的进程，经科普它是一个挖矿程序，会占用服务器高额的CPU、内存资源。如图，CPU占用率高达788.7%，而且是yarn用户下：

2、 ps -ef |grep kdevtmpfsi 命令查看该挖矿程序路径：/tmp/kdevtmpfsi

3、 ps -ef |grep yarn 命令查看更多关于yarn相关进程信息（此时我的服务器并没有开启yarn服务，如果有yarn的相关进程则可判断是攻击者开启的进程），发现另外还有个kinsing进程，经科普kinsing进程是kdevtmpfsi的守护进程：

4、 netstat -lntupaa 命令查看是否有异常的ip,果然发现194.87.102.77这个陌生的ip，判断是kdevtmpfsi的发出者：

5、经查询该ip的所在国家是俄罗斯：

6、 find / -iname kdevtmpfsi 命令再次确定命令所在位置以便删除：

7、 cd /tmp 进入相关目录：

8、 rm -rf kdevtmpfsi 删除kdevtmpfsi程序：

9、** kill -9 40422**杀掉kdevtmpfsi进程：

10、发现并没杀掉所有kdevtmpfsi进程，再次查找yarn的相关进程（因为之前已确认病毒是在yarn下），果真还有kdevtmpfsi进程存在：

11、用命令批量杀掉相关进程：

12、删除kinsing文件：

13、现在，已经把挖矿程序及相关进程删除掉了，但是还有两处没做处理：

14、 crontab -l 命令先看看crontab的定时任务列表吧：

15、编写删除挖矿程序脚本 kill_kdevtmpfsi.sh ：

16、新增定时任务并删除攻击者的挖矿定时任务：

17、 crontab -l命令查看现在只有杀进程的定时任务了：

18、禁止黑客的IP地址。

最初安装MongoDB时，并未设置密码认证，存在漏洞，导致黑客通过漏洞攻击服务器，并在程序里植入木马/病毒。单纯的kill -9 id杀掉病毒进程是杀不彻底的，治标不治本，应该定时删除病毒进程，禁止攻击者IP，重新安装系统或相关软件。

经过几天的观察，服务器运行正常，再没有被黑客攻击成功。

比特币挖矿平台被入侵情形如何？

斯洛文尼亚挖矿平台NiceHash周四在其官网发布一则声明，声称该平台遭遇黑客攻击，大量比特币被盗，目前平台各项服务已全面关闭。

NiceHash方面表示比特币被盗是因为钱包遭遇入侵，公司正在核实被盗的比特币数量，并配合有关部门进行调查。根据存储比特币钱包的地址显示，此次约有4700多枚比特币被盗。

NiceHash营销主管Andrej P. kraba称，这是“一起高度专业化的攻击，社会工程(social engineering)手法老道”，丢失的4700枚比特币按当时价格计算价值约6392万美元，约合4.6亿人民币。他表示，公司正在配合当地有关当局的调查，但不愿透露更多信息。

据了解，NiceHash是数字货币挖矿算力市场，供寻求出售矿机算力的人来换取比特币。

事实上，像著名的特洛伊木马Cryptoshuffler这样的恶意软件攻击的不仅仅是比特币用户，还包括其他加密货币的用户，比如Ethereum、ZCash、Monero、Dash和Dogecoin。

11月，加密代币Tether的发行公司就公告了一起价值3100万美元的盗窃案。公告称，这些代币从Tether Treasury钱包被盗，然后被发送到了一个未经授权的比特币地址。该公司表示，不会赎回被盗的代币，正试图阻止它们进入代币生态系统。

在过去几年内，包括Bitfinex和Mt.Gox在内的代币交易平台被盗事件频发，日本Mt.Gox交易平台上的85万个比特币曾经被黑客洗劫一空，造成全球比特币市场“闪崩”，但这些事件对市场的影响似乎都是短暂的，比特币价格依然不断水涨船高。

苏宁金融研究院互联网金融中心主任薛洪言认为，和数字资产交易账户被盗的原因和银行卡被盗刷其实是同样的原因，一般是用户名和密码泄露所致。而用户名和密码泄露则有多方面的原因，比如用户设备中了木马病毒、多个平台用同一套用户名和密码遭受撞库袭击、交易平台自身的系统漏洞导致用户的账户和密码泄露等。

卡巴斯基实验室的恶意软件分析师Sergey Yunakovsky认为，加密货币不再是一个遥不可及的技术。最近，我们观察到针对不同类型的加密货币的恶意软件攻击有所增加，我们预计这一趋势将继续下去。

而加密货币价格的飙涨是它们被黑客盯上的主要原因。比特币在本周上演疯狂上涨的行情，随着本周六美国市场比特币期货推出的临近，市场对比特币的狂热在周四达到新高潮，该数字货币价格在约40个小时内飙升了约40%，连续突破五个千元关口，升破17000美元。周四，一些交易所的比特币价格甚至一度升破19000美元，24小时内涨幅超50%。