记录一次在Linux解决sysupdata挖矿病毒过程

已于 2023-01-11 11:47:49 修改
阅读量941 收藏 3
点赞数
文章标签: linux
于 2020-05-31 18:48:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/The_right_one/article/details/106459228
版权

记录一次在Linux解决sysupdata挖矿病毒过程

公司项目上线测试时发现有进程后台cpu占用过高,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件:
updata.sh config.json networkservics sysguerd(该文件未添加i权限可以直接rm -rf 文件名 直接删除)

解决办法

1.先尝试解决
找到病毒文件了现在就是直接删除看看:
在这里插入图片描述
很明显这个文件不能删除有权限
网上的方法是使用chattr -i sysupdata 先解除权限再使用rm -f sysupdata 删除文件
在这里插入图片描述
然而却没用
使用lsattr命令查询文件权限看看
在这里插入图片描述
这个文件有i说明之前的解除命令没有生效所以根本删不掉
网上很多都是用上面的方法就能删除sysupdata文件现在删不掉就说明这个病毒可能是被优化过了
这个新版本病毒会把你/usr/bin/chattr文件修改导致你使用的chattr -i 文件名 这个命令失效了
现在在/usr/bin/使用lsattr命令查看chattr文件权限:

最低0.47元/天 解锁文章
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 787
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1733
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1406
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
linux系统中挖矿病毒
杭州吉网-运维日记
01-13 708
原创作者:运维工程师 谢晋 linux系统中挖矿病毒错误信息解决问题 错误信息 客户这边说某台虚拟机CPU突然暴增,用完了整个宿主机CPU资源 可以看到CPU使用确实很高 登录系统查看CPU使用情况 使用top查看CPU使用情况 # top 可以看到kdevtmpfsi进程,该进程明显是挖矿病毒进程 解决问题 如果直接kill掉kdevtmpfsi程序后续还会反复运行,所以要一次停掉他相关进程 打印出所有进程 # ps aux 可以看到kdevtmpfsi进程和他的守护进程kinsi
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
jackhanyuan的博客
10-09 1371
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1499
Linux处理挖矿病毒
【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 2107
病毒来源安装脚本旷池提供的卸载脚本。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 2472
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
小陈没烦恼
12-04 842
前言 今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被挖矿了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己记录一下,方便以后查看。 查看CPU使用情况 通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。 删除木马...
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 1234
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linux服务器挖矿病毒处理方案
最新发布
liu854046222的专栏
10-22 1166
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
Linux服务器防护+对抗挖矿病毒全流程探索
weixin_44197439的博客
09-09 1043
服务器中了两次挖矿病毒一次一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
linux挖矿病毒分析
weixin_42915431的博客
12-21 2818
最近我的测试虚拟机中了挖矿病毒,有个奇怪的名为VP0eryom的进程,cpu占用率特别高,于是自己就折腾着分析,试着找出原因,下面是简单分析过程
一次linux遭遇挖矿病毒之旅
纤手小白
06-17 4314
开发那边构建jenkins项目发现构建失败,我去排查发现,git拉取不了代码,我一开始以为是ssh没权限,公钥失效了,后来发现22端口连接不上。 后来我试着ssh连接别的机器发现报同样的问题,经过网上搜索这种问题的原因,ssh服务没启动,host.deny,防火墙规则,甚至把openssh服务卸载了重装仍旧这个错误。 中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来...
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1663
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
linux挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 3300
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录病毒的原理和查杀记录
应急响应实战笔记——Linux实战篇:③ 挖矿病毒
君逍遥o
04-10 1020
随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值