Linux一次病毒处理

最新推荐文章于 2024-09-17 20:39:29 发布
最新推荐文章于 2024-09-17 20:39:29 发布
阅读量416 收藏 10
点赞数 5
分类专栏: 工作 文章标签: linux 运维 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Beer_xiaocai/article/details/135457172
版权
本文描述了在Linux系统中遇到CPU和内存资源被占用异常的情况,通过检查网络连接和文件变动,怀疑是挖矿病毒导致。重点分析了动态链接库预加载机制如何被恶意利用,以及如何通过top命令和系统配置文件排查可能的后门和木马。
摘要由CSDN通过智能技术生成

现象:CPU、内存爆满,top命令无法检测出异常进程

  1. 通过网络连接查看是否有异常连接,发现异常连接国外IP,疑是感染挖矿病毒
netstat -anp
  1. 通过变更文件可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的。 vi /etc/ld.so.preload 去掉里面的更改内容

在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。
——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》

  1. 通过top查找出对应的异常进程
    在这里插入图片描述
  2. 查看crontab、/etc/cron…、环境变量.bash_profile、/etc/rc.local等内容,找出是否异常
    在这里插入图片描述
    发现木马文件删除:
crontab -r
lsattr /bin/bprofr
chattr -ia /bin/bprofr
rm -rf /bin/bprofr
chattr -ia .bash_profile
vi .bash_profile
敲不响的键盘
关注
专栏目录
移动linux目录的病毒,记一次Linux病毒处理
weixin_39662578的博客
04-29 486
病毒特征比较明显,进程列表中会出现十位随机字母病毒进程,并占用大量CPU。除此之外还会在修改 /etc/crontab 和新增文件/etc/cron.hourly/gcc.sh 来启动定时任务。/etc/cron.hourly/gcc.sh 内容如下 脚本内容如下:打开网卡,然后启动 libudev.so。该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉,如果被关掉了,会再把...
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1450
Linux处理挖矿病毒
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1835
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
一次Linux系统的挖矿病毒处理
chiyich的博客
06-02 880
前段时间,服务器上观察到了很多异常的GPU占用,有的服务器上nvidia-smi中可以看到显存占用,但不显示PID,有的服务器上会显示PID,主要的特征都是占用了多卡、4G左右的显存,且网络流量出现了一定的异常。这种情况一般都是服务器中了挖矿病毒
Linux服务器xmrig病毒处理
weixin_44254869的博客
08-31 1979
一次处理挖矿程序,针对以上问题,还是备份数据 格式化服务器吧,毕竟咱也不是专业的运维
Linux系统占用cpu病毒处理记录
一本正经学技术
09-24 1117
一、现象 近期服务器上面不知从哪里感染了病毒,导致CPU占用率特别高,中间临时处理过,由于不是专业处理,只能手动查看进程并结束进程ID号。 但手动的办法只能临时解决,病毒会再次启动,占用服务器cpu资源,查看定时任务,也没有相关任务记录。 crontab -l #无相关定时任务列表显示,如下图 二、经验 昨天刚处理过一台云服务器的kthreaddk病毒程序,处理方法简单记录如下: 1、查看异常进程,并kill掉,例如异常进程pid为26525 [root@hostname /]# kill -9 26
记录一次linux病毒清除过程
NLP家的码奴小荷的博客
01-13 4476
Linux 木马清除
一次Linux中的木马病毒解决经历
欢迎来到我的博客
12-29 1714
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的. 排查 既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了. 这个时候就说明木马已经入侵了,不是即时入侵的. ...
一次Linux Centos7病毒清理
-满心欢喜-的博客
08-10 1411
一次在工作中测试环境下中病毒处理解决办法
十大Linux最佳防病毒软件
weixin_57514792的博客
05-23 1315
十大Linux最佳防病毒软件
计算机病毒与防护:Linux介绍.ppt
06-10
例如,3.19.1这个版本意味着它属于第三个大版本,第19个小版本,并且经过了第一次修正。次版本号为偶数通常意味着该内核是稳定的,奇数则可能包含开发中的新功能或测试修复。 Linux有多种发行版,包括Ubuntu、...
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 527
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文记录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
linux kdevtmpfsi 挖矿病毒处理
qq_16642919的博客
02-26 481
linux kdevtmpfsi 挖矿病毒处理病毒表现新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 病毒表现 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编
navicate远程linux上的pgsql提示密码失败
记录、分享、合作、共赢
09-14 304
2、postgresql.conf文件中,修改listen_addresses。3、重启pgsql,例如:systemctl restart pgsql。1、pg_hba.conf文件中,ipv4下面的内容改成。4、如果问题还在,检查firewalld防火墙,执行。5、再次尝试连接,成功!
Linux】:信号与信号产生
Yikefore的博客
09-12 959
信号的基本概念、对信号的理解、信号的多种产生方式以及核心转储的详细介绍!
linux-网络相关概念
最新发布
zdd56789的博客
09-17 389
linux-网络相关概念
Linux如何使用sed命令进行文本替换
yang295242361的博客
09-12 540
Linux中,sed(Stream Editor)是一个用于处理文本流的命令行工具,它非常适合用于执行基本的文本转换。sed可以读取输入的文本文件,根据指定的指令对文本进行处理,并将结果输出到标准输出设备。
Java wrapperr打包springboot项目到linux和Windows
欢迎查阅
09-14 982
测试启动就是点击App.bat 就会有信息的输出 installApp就是注册为一个windows上的一个服务。上图文件复制的地方 全部复制过去 保留自己需要的 然后去掉后缀.in。下载:linux的目前免费的 windows 64位的好像收费的。前提: 一定要有Java环境(我使用的是jdk1.8)解压的目录,然后我们新建自己的项目目录java-jsw。前面是你解压的原文件 后边是你自己建的目录路径。步骤和上面的一样 不过复制的文件不一样。下载一个社区版本的应该就够用了。需要注意的点 有Java环境。
对目录的操作、获取文件信息
2303_80050865的博客
09-15 364
4)关于目录分隔符号,在windows下 "/ " 和 "//" 都可以,比如如"d://aaa//bbb//hi.txt"和"d:/aaa/bbb/hi.txt",linux/unix是"/",比如 /root/home/aa.log 因此建议目录分隔符,为了兼容,linux和windows都使用"/"2)f.close():刷新并关闭此流,也就是f.close()内置的flush功能。3)删除目录 d://aaa和d://bbb//ccc。2)创建多级目录 d://bbb//ccc。
Linux基础命令详解:60个必学管理命令
8. `last`: 查看系统登录记录,包括最后一次登录的用户和时间。 9. `file`: 识别文件类型,如`file filename`查看`filename`的类型。 10. `mkdir`: 创建目录,例如`mkdir mydirectory`创建名为`mydirectory`的新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值