记一次挖矿病毒xmrig入侵后系统内存过高的处理

已于 2023-10-15 18:16:44 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 服务器异常 文章标签: linux ecs 内存管理
于 2021-09-08 11:15:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Clare_Y/article/details/120175607
版权

挖矿病毒xmrig

github链接

xmrig处理 CSDN上很多,此处引用“xixiyuguang”的文章

入侵后排查

  1. top 查看内存 和 cpu ->指向启动进程,kill掉
  2. 删除定时任务
  3. 查看新加用户,删除ssh后门
  4. 查看命令操作history

清除完毕后,重启服务仍发现内存过高,与正常不同。但是cpu已经正常,也没有Tcp连接外部服务器。

top命令发现内存数值不相等
在这里插入图片描述

free -m 查看内存详情也是占用过高
在这里插入图片描述

猜测是进来之后提权修改了系统配置文件。

看下大页内存有没预留:
可以用以下命令看下:
cat /proc/meminfo |grep -i huge
其中 HugePages_Total*Hugepagesize 就是了。
如果不需要预留这么多的话,可以修改 /etc/sysctl.conf 文件里面的vm.nr_hugepages的值,修改预留大页的个数,然后 sysctl -p 生效下,再看下内存是否释放出来了
在这里插入图片描述

root@root:~# cat /proc/meminfo |grep -i huge
AnonHugePages: 811008 kB
HugePages_Total: 1170
HugePages_Free: 1170
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 2048 kB

配置“大页内存“
将如下内容添加到/etc/sysctl.conf中

vm.nr_hugepages = 0

然后执行sysctl -p命令重新加载配置

[root@develop ~]# sysctl -p
vm.nr_hugepages = 100
[root@develop ~]# grep Huge /proc/meminfo
AnonHugePages: 14336 kB
HugePages_Total: 0
HugePages_Free: 0
HugePages_Rsvd: 0
HugePages_Surp: 0
Hugepagesize: 2048 kB

修改完查看监控已经降下来了。
在这里插入图片描述

XIxixixi丶曦
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 2727
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
Xmrig挖矿入侵服务器排查
BothSavage
03-19 672
挖矿程序入侵
一次排查xmirg挖矿程序_xmirg 关闭(1),2024年最新2024年最新大厂网络安全面试笔试题目
2401_83739777的博客
04-16 441
因为前两天刚刷抖音刷到了服务器感染了挖矿程序导致服务器cpu被占满了导致服务器运行速度非常满,因此我也查看了当前服务器的cpu运行情况,不看不知道,一看吓一跳。根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径。
裸奔真的会中木马病毒 挖矿病毒 wup.exe 程序文件占用电脑资源
flaribbit的博客
02-05 904
4日晚上,打开任务管理器的时候发现CPU使用一直在80%,是 wup.exe 占用的,同时还占用了2G内存,低优先级运行,用户名 SYSTEM,很不正常,于是开始排查。 发现这玩意是上午十点左右中的,仔细回想那时段并无敏感操作,也没有程序要权限,大概是通过某些漏洞传播的罢。 具体行为 程序列表里多了个 CloudNet,且难以卸载 在C盘创建了 wup 文件夹和伪装的 rss 文件夹(都是隐藏的),用来放自己的木马程序 在C盘创建了伪装的 Windows Defender 文件夹,放了个伪装的程序 在临时
xmrig病毒的清理
qq_41957174的博客
01-18 3828
xmrig病毒的清理
阿里轻量服务器xmrig挖矿病毒排查处理
ZHUMUYI0的博客
12-04 1470
本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100。
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 2797
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 1652
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
一次 Linux入侵,服务器变“矿机”全过程.docx
12-25
一次 Linux入侵,服务器变“矿机”全过程
crontab异常任务删除不了,清除挖矿病毒
最新发布
06-20
crontab异常任务删除不了,清除挖矿病毒
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经验证的外部设备或存储介质...
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
服务器中xmrig病毒处理
Mars
06-17 3359
xmrig CPU 占有率很高 不是docker 的版本 在处理病毒的时候,我找了很多文章有一些是属于docker版本下的 不确定是否能一并处理。 查看进程: 使用top 获取xmrig进程ID ll /proc/进程id/exe 1.病毒的文件执行权限拿掉 2.删除定时任务 一般这种病毒都会有一个定时脚本来维护病毒执行的。 cd /var/spool/cron 把这个文件夹下的文件都删掉(定时脚本!!!) 3.杀掉进程 sudo kill -9 8236 4.保险起见 执行一下 killa.
一次xmrig挖矿病毒排查日
weixin_43831977的博客
02-23 1275
一台运行了好久的服务器CPU使用率达到100%,脑海中第一个想法就是中病毒了,于是开始了我的杀毒之旅。 解决方案 登录服务器查异常进程 top -c 可以发现有个名为xmrig的进程CPU使用率98.7% kill掉异常进程 经过top命令发现异常进程的pid,通过kill命令杀掉进程 kill -9 15866 删除危险文件或目录 经过top命令发现异常进程的执行目录,删除危险目录 rm -rf c3pool/ 检测 可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 6512
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。录下进程的PID,然后杀死进程。
网络安全-挖矿病毒XMrig miner
L120305q的博客
04-05 761
挖矿病毒XMrig miner
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 3768
linux服务器上彻底清除xmrig挖矿病毒
xmrig病毒查杀方法
story-xu的博客
11-19 7858
xmrig病毒查杀报告 一、中毒服务器列表: 192.168.. 二、服务器中毒现象 1、服务器CPU占用异常,如下图: 2、存在异常进程: 三、病毒源 发现如下明显的病毒脚本: 四、查杀过程 1、按照使用cpu对进程进行排序,找到靠前的几个进程: ps aux |sort -rn - k +3|head -n 20 2、找到比较特殊的进程名,如:2.2图 3、杀掉相关进程 4、检查是否有定...
xmrig挖矿病毒怎彻底清除
03-20
xmrig挖矿病毒是一种恶意软件,它会利用受感染计算机的资源进行加密货币挖矿,导致计算机性能下降和电费增加。为了彻底清除xmrig挖矿病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值