Blog遇到了挖矿脚本攻击😅
- 2025/12/12
- 0阅读
一大早刚睡醒,打开手机就看到了阿里云发来的告警邮件,服务器正在进行挖矿😳,一下睡意去了大半。
【挖矿处置通知】为避免您的云服务被关停,请尽快清理挖矿活动
CPU使用率飙升
因为Blog是编译后的静态网站,按理说压根不会遇到被挂马的情况。服务器密码用的也是64位随机大小写数字符号密码,被暴力破解的概率也几近于零,我能想到的情况也就是服务器中一个定时任务(从外部拉取数据到网站内)和两个辅助应用(网站统计、评论区)有可能出现问题。
现在还不是排查问题来源的时机,先把问题解决了吧,去干掉这个挖矿脚本。
一、解决问题
过去对Linux命令不太熟,每次操作都得查询大量博客,去尝试博主们提供的命令行。中途出现了预想外的问题再处理起来也非常麻烦。现在有了AI,处理这些问题就从容的多了,先让AI整理一套排查问题的命令:
豆包整理的排查指南
按照顺序执行,中途如果有出现看不懂的返回数据,也可以再次询问AI。
1 | 查找占用高的进程 |
当上述步骤检查完毕后,再进行其他检查工作:
- 检查是否有可疑的系统定时任务;
- 检查是否有可疑的系统用户;
- 检查/tmp目录下是否有残留的守护任务;
- 检查系统中是否有隐匿未删除的挖矿脚本备份;
- 及时更新修复相关系统漏洞;
- 对于业务中有暴露风险的accessKey及时注销替换;
- 对于系统中敏感易泄露的应用密码进行替换;
处理完成后,CPU使用率恢复到正常水平
二、排查来源
一切解决后,我就开始排查这个问题是怎么产生的。我的怀疑目标主要有三个:
- 定时任务:同步每日油价,用于Blog的自建应用“百公里油耗费用计算器”;
- Twikoo:网站评论区;
- Umami:网站访问量统计;
先看定时任务,最近几日运行都是正常的;而且定时脚本是自己写的,功能只是抓取数据之后保存为json文件,没有任何的执行文件功能,不存在安全隐患。
定时任务运行正常
再看Twikoo和Umami,于是我去Github查看了他们近期的发版情况,果然出了问题!Umami近一周连发三版,解决Next.js导致的高危服务器漏洞。正巧我的Umami还是2.18.0,在漏洞影响范围内…
Umami近期疯狂更新,正巧是那个Next.js的高危漏洞💀
后续又有一个发现佐证了我的看法:我在查询服务器是否还有遗漏的xmrig文件时,搜索到了下列路径内容。而这个8c4****536正巧是Umami的容器ID。
1 | [root /]# find / -name "*xmrig*" 2>/dev/null |
所以,后续的封堵方案就比较简单了,将Umami的版本升至v2.20.1以上即可(建议升到v2.20.2,因为12月11日Next又爆出了2个高危漏洞😂)。
尾、回旋镖🎯
Next.js这个事,其实我前几天就刷到了。
当时我还发了个朋友圈吐槽 “前端框架搞SSR,终究要把曾经服务端语言踩过的坑,再走一遍。”
没想到一周之后,轮到我走一遍了😂
Blog遇到了挖矿脚本攻击😅
作者:有点东西
链接: https://www.youdiandongxi.com/article/server-cryptojacking-log.html
协议:本文采用 CC BY-NC-SA 4.0 隐私协议,转载请注明出处!
