阿里云服务器中挖矿病毒处理方法

最新推荐文章于 2024-01-26 14:56:05 发布
最新推荐文章于 2024-01-26 14:56:05 发布
阅读量463 收藏
点赞数
文章标签: 服务器 linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X1992W/article/details/115792638
版权

先备份一下之前的快照,保留备用
通过TOP命令查看进程
在这里插入图片描述
发现PID:31961的.libs进程异常,查他的进程详细信息

[root@iZwz9c4z4opmg9ze4ohbmkZ ~]# netstat -lntupa |grep .lib
tcp        0      0 172.18.4.104:51562      107.172.214.23:80       ESTABLISHED 31961/.libs

发现异常IP:107.172.214.23,在阿里云安全组添加一条阻止记录
在这里插入图片描述
杀掉进程

  kill -9 31961

检查定时任务,有异常,直接删掉

crontab -e

先查定时器,执行crontab -e,删掉对应的命令,
再查/etc/cron.d/,/var/spool/cron/,/etc/cron.hourly/oanacroner1, /var/spool/cron/crontabs/下面的文件,全删(当然如果有自己项目的定时命令,自己注意分辨)。
再查/etc/ld.so.preload,发觉删不掉?执行下命令chattr -ai /etc/ld.so.preload,再删除
查/usr/local/lib/的.inis,.inid,.libd,.libs(可以打开文件确认下),删不掉,请按照上一步步骤(chattr -ai file)

然后再修改root密码

passwd root

观察一段时间,如果进程还是会复现,最好的方式就是还原快照

X1992W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
QT连接阿里云服务器的MySql数据库示例
06-10
在本文,我们将深入探讨如何使用QT框架连接到阿里云服务器上的MySQL数据库。QT是一个流行的开源C++开发框架,广泛用于构建跨平台的桌面、移动和嵌入式应用程序。而阿里云提供了稳定可靠的云服务器服务,是许多企业...
阿里云服务器安装mongodb的方法
12-16
阿里云服务器安装MongoDB是一个常见的任务,特别是在搭建云环境的数据存储系统时。MongoDB是一个高性能、开源、无模式的文档型数据库,适用于处理大量结构化和非结构化数据。以下将详细介绍在阿里云服务器上安装...
清理服务器挖矿木马病毒
FOREVERHOPE_WBZ的专栏
08-28 270
Linux系统,root用户是具有最高权限的超级管理员账号。如果忘记了root用户的密码或需要更改密码,可以通过以下方法来修改或重置root密码。1.重置root密码重置root密码需要使用root用户或者有sudo权限的用户执行以下步骤:1.1 在系统启动过程,按下任意键以进入grub菜单。1.2 选要使用的内核版本,按下e 键进入编辑模式。1.3 找到以"linux16"或"linuxefi"开头的行,将其末尾的 "ro" 更改为 "rw init=/sysroot/bin/sh"
记录一次云服务器被劫持下载了挖矿病毒处理过程
黄嚯嚯
01-29 6733
etc被篡改导致系统病毒 起因: 一年前买的阿里云服务器 , 买了没多久 , 因为没做什么安全措施 , 然后就莫名奇妙服务器被劫持 , 在上面下载了挖矿的一些脚本 ,当时做的处理方式 简单粗暴 直接重置了我的阿里云服务器 , 并且改了密码 , 同时在阿里云的服务器控制台 -> 安全组规则 关掉了掉了脚本来源的IP地址的出入权限 , 之后的一年 都一直风平浪静 , 知道昨天 , 手贱 ,,,,, 觉得过去很久了 应该没啥了 , 就删掉了那条规则, 也就是等同于放开了那个IP对本机的...
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2025
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是挖矿病毒,如何处理它?
阿里云被恶意挖矿处理方法
qq_55809729的博客
10-03 917
亲测:阿里云被恶意挖矿处理方法
阿里云服务器挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 7984
1、cpu过高,病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很高的进程,跳到第七步 2、发现了占用率很高的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器显示c.
阿里云服务器购买搭建过程的方法步骤
01-09
在示例购买的为阿里云服务器,在校大学生可以购买阿里云的学生认证特权服务器 (云翼计划)网址:https://promotion.aliyun.com/ntms/act/campus2018.html 购买云服务器ECS 价钱比较便宜,一年的费用也就一百多...
阿里云服务器新建用户具体方法
09-10
在本文,我们将深入探讨如何在阿里云服务器上新建用户,包括操作系统用户和MySQL数据库用户。阿里云作为国内领先的云计算服务提供商,为用户提供了一流的云服务器环境。在管理和维护云服务器时,有时我们需要创建...
阿里云云服务器mysql密码找回的方法
12-16
本文将详细介绍如何通过不同的方法找回阿里云云服务器上的MySQL密码。 **一、找回初始随机密码** 如果你刚安装了MySQL,系统会生成一个随机密码,并记录在日志文件。要查找这个密码,可以按照以下步骤操作: 1....
阿里云服务器挖矿病毒处理方法centos7
cy3329520的博客
01-21 2452
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿病毒。 然后我查资料,说是先通过 /proc/pid/exe 找到进程路径,但是我查了,直接报exe目录是空的。 这就神奇了,和网上说的不一样。是不是情况不一样。 然后我去看了定时任务:crontab -e 发现新增的一个定时器,名字叫.systemd-service.sh。 然后sh逻辑是显示一串类似秘钥的东西。 所以这个挖矿病毒的逻辑应该是通过redis的6379端.
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 3929
基于学习的便利性,在阿里云服务购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
你的软件部署在阿里云服务器上,勒索病毒了怎么办?
qq_51503664的博客
01-22 796
【代码】你的软件部署在阿里云服务器上,勒索病毒了怎么办?
阿里云服务器被pnscan挖矿病毒入侵如何解决?
最新发布
m0_64344919的博客
01-26 1191
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
记一次阿里云被挖矿处理记录
m0_61101264的博客
08-17 158
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿的脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵记录)使用history。
记一次解决阿里云服务器被植入挖矿病毒
hghjgkjn的博客
06-23 1659
解决阿里云服务器被植入挖矿病毒
Linux 共享库LD_PRELOAD环境变量
wayz11的专栏
03-19 6406
共享库转载器有许多可供配置的环境变量,比如我们前面介绍的LD_LIBRARY_PATH环境变量。本文只重点介绍LD_PRELOAD环境变量,因为这个环境变量体现了共享库一个非常重要的特性:共享库覆盖。 下面是man手册对于LD_PRELOAD环境变量的介绍: A whitespace-separated list of additional, user-
linux LD_PRELOAD 预加载 so 简介
热门推荐
whatday的专栏
09-30 1万+
预加载so的两种方式: 修改/etc/ld.so.preload配置文件,这种方法对配置修改之后运行的进程生效,而无法影响已经在运行的进程; 启动进程前设置LD_PRELOAD变量(如shell执行LD_PRELOAD=/lib64/inject.so ./myprocess),则只对当前进程生效。 默认情况下进程创建的子进程也会继承Preload环境变量,而父进程可以在子进程初始化前修改子进程的环境变量,从而避免往子代传播。 LD_PRELOAD可以影响程序的运行时的链接,它允许你定义在程序运行前
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 863
接手的某项目部署于某云平台centos服务器上,由tomcat作为间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
阿里云 专有云企业版 V3.8.1 云服务器ECS 开发指南 20200821
04-06
"阿里云专有云企业版V3.8.1云服务器ECS开发指南20200821" 阿里云专有云企业版是为企业级客户量身打造的一种云服务解决方案,旨在提供高度定制化、安全可控且高效稳定的云计算环境。云服务器ECS(Elastic Compute ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值