Linux - 服务器.Xr1挖矿病毒解决记录

已于 2023-07-19 17:29:06 修改
阅读量1.2k 收藏 1
点赞数 2
分类专栏: Linux 文章标签: linux
于 2021-08-13 16:25:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LeyiChen_X/article/details/119677957
版权

1. 发现问题

    开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程

2. 问题定位

2.1 通过top命令查看, 发现 xr文件, CPU占用过高, 服务器运行时间长了, 会出现很多xr的进程 (这里只有两个是因为刚重启过)

2.2  进入进程文件夹, 查看进程文件信息, 才发现是根目录下的 .XL1的隐藏文件

ls -al /proc/5748

2.3  进入 /.Xr1 文件夹可以看到有一个执行文件和一个配置文件

2.4 查看config.json配置信息, 可以看到里面有 p.b69kq.com:444 的域名地址 (也可能是其他域名)百度后才发现这是 挖矿的病毒

3. 解决思路

3.1 杀掉运行中的xr的进程

ps -ef | grep "./xr"| awk '{print $2}'|xargs kill -9

3.2 修改定时任务配置文件, 将下图注释以下的配置全部删除 

vi /etc/crontab

3.3 删除 /.Xl1 文件夹   rm -rf /.Xll

注: 如果删除失败, 执行  chattr -ia .Xl1/  去除文件不可更改的属性,  然后再执行  rm -rf /.Xll

记一次清理挖矿病毒的过程
邓邓子的博客
07-05 1326
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
挖矿病毒的一次艰难删除过程【应急响应】
CODER的博客
06-02 2137
服务器中了挖矿病毒… 这次我没有分析病毒文件,纯查资料+经验杀 攻击日期为2021.5.30 00:40分左右 文章目录1. 确认攻击路径2. 查看crontab3. top4. 查阅资料4.1 /etc/ld.so.preload5. 删删删6. 恶心一下这个病毒7.查看系统日志 1. 确认攻击路径 ssh弱口令 密码abcABC123 互联网、内网蠕虫都有可能 2. 查看crontab crontab -l 内容忘记了,就一行,执行了一个木马文件 crontab -e 编辑文件 或者 cro.
linux挖矿病毒排查-实操
w_kndy的博客
11-03 866
linux挖矿排查实战,看这一篇就够了
linux服务器病毒
翔子的世界
09-22 1056
流媒体服务器,忽然发现TX带宽到了800M 经查,top时有cp命令异常 使用 ps -efx 命令,发现有这样一个cp   /root/cp 使用which cp,发现cp老老实实在/bin/cp下待着呢 好了 /root/cp肯定是坏人了 谁启动了它呢? 用这个命令: find /etc/init.d/ |xargs grep --color /root/cp 发现
应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
最新发布
网络安全领域___专研者.
08-18 1056
挖矿病毒是一种恶意软件,它在用户不知情的情况下利用用户的计算机资源进行虚拟货币挖矿,从而获取利益。这种病毒的传播方式多样,包括通过垃圾邮件、软件捆绑、系统漏洞以及网页脚本等途径 。
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1562
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
Linux服务器挖矿解决办法
qq_40939094的博客
01-08 2696
记录一次Linux服务器挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
Linux】排查进程挖矿病毒查找
qq_39165617的博客
02-28 7135
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 2393
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3503
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
【应急响应】-Linux
Zt_Zk的博客
08-27 857
发现问题要处置,遵循原则:百分百确认是非法文件,报备记录关停,摸棱两可找负责人确认,处置看沟通结果
hadoop伪分布式部署
weixin_45052608的博客
02-05 600
hadoop hadoop官网:hadoop.apache.org apache官网都是:项目名称.apache.org 如:spark官网是spark.apache.org Hadoop2.x(CDH5.x)官网:http://archive.cloudera.com/cdh5/cdh/5/ hadoop部署 一、hadoop安装 1、创建用户 useradd byy su - byy ll 2、创建文件夹 mkdir app data software bin log sourcecode tmp ll
Linux】中病毒了怎么办?
小白鸽i的博客
03-23 829
Linux】中病毒了怎么办?
挖矿病毒zz.sh——记一次linux(centos)成为矿机后的排查与修复过程
热门推荐
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来记录排查过程中遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
记录小白Linux服务器挖矿的处理
m0_71751187的博客
01-08 505
6379端口异常,redis没设置密码导致被挖矿
杀毒成瘾--继续linux服务器挖矿病毒的查杀
一本正经学技术
09-25 1642
运维播报 前言 在昨天设置好定时关闭病毒进程的任务后,今天早上检查一下效果,查看回写日志信息,如下图: 今天继续查找病毒源头。 实时记录 由于直接通过crontab -l命令无法查到真实定时任务,只能通过排查/etc下的cron相关文件进行排查分析。 首先/etc/cron.d目录下存在0hourly文件,查看内容如下: [root@MiWiFi-R2D-srv ~]# cat /etc/cron.d/0hourly # Run the hourly jobs SHELL=/bin/bash PATH=
linux服务器被植入木马挖矿程序的解决过程记录
weixin_38067745的博客
12-24 4868
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
Linux服务器中了病毒后的清理方法
weixin_45625174的博客
05-15 1715
" -ls 和 find /usr/sbin/ -iname ".
linux系统中病毒怎么解决,Linux 服务器中木马病毒及清除过程
weixin_39731456的博客
04-29 1874
一、背景晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现并追踪处理1、查看流量...
-rwxr-xr-x.
07-31
"-rwxr-xr-x" 分别代表: - 第一位:表示文件类型,如果是 `-` 则是目录,如果是 `d` 是其他特殊文件(如符号链接等); - 后面九位,从左到右分别对应: - 文件所有者(owner)的权限:读(`r`)、写(w)、执行(x)的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值