网站已进行站点迁移,新站点:blog.murainy.com,部分链接展示异常,新页面预计在24小时内生效。详见更新日志 预计剩余0天0时0分0秒
2026.06.16哪吒监控挖矿漏洞 解决方案

今天下午突然收到了阿里云的告警,一台闲置的服务器报了蠕虫病毒。于是我便登上去看了看日志,发现是哪吒监控搞的鬼。

简单来说是这样的:哪吒监控dashboard有漏洞,被入侵后黑客通过dashboard向agent定时下发命令,下载挖矿脚本并执行。

如果不确定自己有没有中招,可以登录dashboard看看有没有不是自己添加的定时任务,或者在agent终端执行以下命令:

ps -ef | grep xmrig

如果有,那大概率就是被感染了。经过一段时间的研究(询问群u & ai)有了以下解决方案:

1.彻底停止并卸载哪吒 Agent

systemctl stop nezha-agent
systemctl disable nezha-agent
rm -rf /opt/nezha

2.查找带有 `memfd` 关键词的异常进程

#攻击者植入的是很隐蔽的 memfd 内存马(伪装成内核线程 `[kworker/x:x]`)。这种马在磁盘上没有物理文件,通过 `ls`、`cron` 或 `systemctl` 都查不到,只能在进程中露马脚。
ls -al /proc/*/exe 2>/dev/null | grep "deleted"

如果看到输出中指向 /memfd:xxx (deleted),这就是典型的内存马。

 kill -9 <内存马的PID>

3.清理物理持久化文件及守护服务

 # 1. 停止并删除守护服务
systemctl stop systemlog.service
systemctl disable systemlog.service
rm -f /etc/systemd/system/systemlog.service
rm -rf /opt/systemlog/

# 2. 停止并删除 XMRig 挖矿木马
systemctl stop c3pool_miner.service
systemctl disable c3pool_miner.service
rm -f /etc/systemd/system/c3pool_miner.service
rm -rf /root/c3pool/

# 3. 检查并删除恶意的哪吒 Agent 残留配置
# 检查 /opt/nezha/agent/ 下是否存在随机名的 config-xxxxx.yml(指向攻击者 C2)
rm -rf /opt/nezha/agent/

# 刷新 systemd 配置
systemctl daemon-reload

4.清除 authorized_keys 后门

查看并编辑/root/.ssh/authorized_keys,将带有特定注释的攻击者公钥彻底删除。如果分不清哪个是自己的,建议直接清空该文件,然后重新写入你自己的安全公钥。

5.删除临时文件(可选)

rm -r /tmp/.x
rm -r /tmp/xmrig.sh

这个方案无法 100% 保证攻击者是否在内核层或其他极深的位置做了持久化,所以最好的办法是重装系统,这个解决方案只能做参考

 

 

 

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇