挖矿病毒解决经验

最新推荐文章于 2024-04-01 17:15:28 发布
最新推荐文章于 2024-04-01 17:15:28 发布
阅读量455 收藏 6
点赞数 11
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79011934/article/details/136809661
版权

时间

2023年9月1日

起因

在部署gitlab的时候发现宝塔面板和部署的网站都连接超时。然后通过监控资源发现系统占用100%

问题分析

由于图方便没有开启防火墙,以及刚才测试gitlab时把docker设置允许外部访问,导致被扫描到并植入了挖矿病毒

处置分析

  1. 由于挖矿病毒一般都无法通过杀死进程直接根除,所以需要找出病毒进程,根据病毒进程找到启动的脚本

  2. 脚本一般来说是没有权限运行的,说明服务器可能已经沦陷,管理员密码被获取,或者留了隐藏用户

处置过程

使用top命令查看系统资源占用,按shift+p排序查看cpu高占用的进程,发现挖矿病毒分为多个进程运行,如果是多核cpu可以按1查看每个核心的占用情况

先使用crontab -l 查看所有的定时任务

发现运行病毒的隐藏脚本,使用more /root/.system-private-fcpik5LHQoUS1rX8s9YXtANnS7MeR3Wp.sh查看脚本中运行的代码,里面有通过curl从其他网站上下载病毒的行为  //忘记截图了

先把脚本删除掉,然后再使用crontab -r [UserName]删除定时任务。

通过刚才top查看的进程会发现有一个pid为998的用户启动了那几个进程,通过cat/etc/passwd查看系统中所有的用户,拿到998用户对应的用户名,把用户删除。

最后再通过ps -ef | grep bundle查看病毒进程的父进程id

直接kill -9 12912把父进程干掉,过一会发现服务器占用下来了

然后把防火墙开启,外部服务关掉,管理员密码修改,至此病毒就基本扫除了.

安|谨
关注
crontab异常任务删除不了,清除挖矿病毒
06-20
crontab异常任务删除不了,清除挖矿病毒
记一次挖矿病毒的清除,欢迎来讨论
CSDNyingying的博客
01-26 1837
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
挖矿病毒的一次艰难删除过程【应急响应】
CODER的博客
06-02 2074
服务器中了挖矿病毒… 这次我没有分析病毒文件,纯查资料+经验杀 攻击日期为2021.5.30 00:40分左右 文章目录1. 确认攻击路径2. 查看crontab3. top4. 查阅资料4.1 /etc/ld.so.preload5. 删删删6. 恶心一下这个病毒7.查看系统日志 1. 确认攻击路径 ssh弱口令 密码abcABC123 互联网、内网蠕虫都有可能 2. 查看crontab crontab -l 内容忘记了,就一行,执行了一个木马文件 crontab -e 编辑文件 或者 cro.
docker容器封装redis,记一次挖矿病毒紧急处理
lslym2010的博客
08-07 769
docker容器封装redis sys-processor-usage-monito
IDEA连接阿里云ECS运行的docker,及处理挖矿病毒kdevtmpfsi的经历
qq_40662424的博客
03-01 1299
文章目录前置条件docker版本:1.13.1相关参考文章1.修改docker相关配置1.1 修改docker配置文件1.2 重新加载配置文件1.3 重启docker2.配置阿里云ECS开放端口23753.配置IDEA连接Docker 前置条件 docker版本:1.13.1 相关参考文章 https://blog.csdn.net/qq_34404388/article/details/103739870 https://blog.csdn.net/lovoo/article/details
一起linux虚机感染挖矿病毒对外恶意传播的处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-04 1240
问题描述 虚机因对外恶意发包,被云服务提供商封堵22端口,导致无法ssh;通过修改ssh端口号,登录后top发现,有2个占用cpu 99%的同名进程在运行,叫gpg-agentd; 影响范围:一台linux虚机 问题分析及过程: 通过google搜索发现,GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。但是我们发现的异常进程是gpg-agentd,多了一个字母d,属于伪装程序。 根据gpg-agentd的进程pid:23374,通过ps命令查看进程启动路径、通过n
记一次服务器被挖矿的处理解决
ZL_1618的博客
12-28 1143
last 列出当前和曾经登入系统的用户信息> 它默认读取的是/var/log/wtmp文件的信息> 输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。> 当然也可以通过 last -f 参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!IP 查询,如若未发现异常,推断应该是:攻击者清除了登录记录日志导致的。
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
挖矿技术防范解决方案 勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经...
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
Scratch挖矿游戏作品:挖矿
03-14
可售出矿石,获得钱币,以购买“稿子”“护盾”等。干货满满,欢迎转载,记得注明原作者。此后仍有各热门或有趣游戏,请关注原作者,且点赞加收藏,记得推荐好友。下载即可玩,快点来下载吧!
gitlab-ce-12.3.5 挖矿病毒解决方案
cm777的博客
11-09 1286
最近发现在使用gitlab提交代码的时候总是失败,一访问gitlab还时常报503,于是使用 'top' 命令查看了内存占用情况,发现了一个git进程内存使用了2.3g,cpu还一直占用300-400%本文主要内容为怎么排查gitlab-ce漏洞引起的挖矿病毒以及如何彻底杀死,为读者提供一个在不能及时升级gitlab-ce版本的情况下的应急解决方案。网上看了很多篇文章,发现讲的解决方案都不清晰,也都没有讲明白如何杀死或处理,因此提供一篇,希望能帮助到同行朋友。
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1196
CentOS处理挖矿病毒 - kthreaddk
Docker 恶意挖矿镜像应急实例
09-14 7042
01、概述当网络流量监控发现某台运行多个docker容器的主机主动连接到一个疑似挖矿矿池的地址时,需要快速响应和排查,以阻止进一步的损害。面对docker容器的场景下,如何快速分析和识别恶意挖矿容器?本文将分享一种应急响应思路,用于排查运行多个Docker容器的主机中可能存在的恶意挖矿容器。02、定位容器在宿主机上通过netstat -an 是看不到容器内的网络连接的,而一台台进入容器查看网络连接...
Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 994
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理
Mr_chenchen的博客
03-01 2780
kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者50-70%
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4033
在linux服务器上彻底清除xmrig挖矿病毒
宝塔面板kswapd0挖矿病毒清除教程一
QQ56669388的博客
08-19 720
4、定时任务的目录在 /var/spool/cron。3、查看linux 所有用户的定时任务。通过定时任务反反复复启动检查后清除。
gitlab 挖矿病毒处理
MrLee的博客
06-13 1590
利用GitLab ExifTool RCE 漏洞执行挖矿脚本影响的 GitLab版本:11.9
centos挖矿病毒
最新发布
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值