服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)

已于 2022-05-05 13:33:24 修改
阅读量1.9w 收藏 44
点赞数 11
分类专栏: 服务器 文章标签: 服务器
于 2021-01-10 21:59:09 首次发布
原文链接:https://blog.csdn.net/penriver/article/details/121901075
版权

最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。
经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。

现将清除挖矿病毒的步骤梳理如下:

1. 检测服务器是否有挖矿病毒

使用top命令查看进程及占用cpu百分比,
如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。
在这里插入图片描述

2. kill 病毒进程id

kill掉CGroup的所有进程id

systemctl status 病毒进程id

在这里插入图片描述

3. kill 包含tracepath的进程

ps -ef|grep tracepath

查看是否有这个进程存在。该进程的功能:推测是暴力破解ssh其他服务器,并传播病毒到基它服务器,自动启动病毒。

如有,则输入systemctl status tracepath的进程id,按照步骤2的方式处理
在这里插入图片描述

4. 删除/usr/bin/tracepath

rm -rf /usr/bin/tracepath

5. 删除定时伤务

crontab -e

删除掉启动挖矿病毒的定时任务

6. 删除/etc/cron.d的文件

到/etc/cron.d文件夹下,删除以0开头的文件(如0systemd-*,0hourly)
image-1637655292354.png

7. 候改定时文件权限

修改定时任务相关的文件权限,以防再被修改

chmod -Rv a-w /etc/cron.d chmod -Rv a-wr /var/spool/cron/root

8. 删除挖矿的文件

将root目录下以.systemd开头的文件删除,这个文件就是挖矿的文件

cd /root
ll -a

在这里插入图片描述

9. 删除所有以system-private命名的文件

find / -name ‘systemd-private’

将找到的所有文件删除
在这里插入图片描述

10. 删除/tmp/.X11-unix

这一步非常重要

rm -rf /tmp/.X11-unix

推测是自动启动病毒文件的目录

11. 修改/etc/hosts

修改host文件vi /etc/hosts,最下方增加以下内容:

127.0.0.1 relay.tor2socks.in
127.0.0.1 checkip.amazonaws.com
127.0.0.1 cim8.f.dedikuoti.lt
127.0.0.1 hydra.plan9-ns1.com

12. 禁止ssh【可选】

设置ssh禁止root登陆、修改root的密码
此步骤可选,根据实际情况执行。如果不禁止,建议将root密码设置的复杂一点。

转载链接:https://blog.csdn.net/penriver/article/details/121901075

服务器中了挖矿病毒检测删除方法
penriver的博客
12-13 8819
本文提供了服务器中了挖矿病毒检测删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
一次挖矿病毒的排查过程
邓邓子的博客
06-06 575
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!清除异常任务,重启服务器
服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案
weixin_44874487的博客
03-15 3340
挖矿病毒syst3md及其伪装者的解决方案,涉及到操作系统的完全解决方案!
干货满满!教你如何应对挖矿病毒, 从零基础到精通,收藏这篇就够了!
最新发布
logic1001的博客
04-11 1149
随着虚拟货币的疯狂炒作,网络黑客将挖矿程序伪装成一个正常的文件,通过。
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 2001
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
挖矿病毒排查演示
zhuge_long的专栏
09-20 1077
查看一下这两个目录,这是两个进程执行时候的信息,可以看到两个执行文件都已经被删掉了,所以我们无法在磁盘上用find命令找到他们,但是他们都在内存中执行。执行完上面两个步骤就可以了,我们还可以把这个定时任务里的可执行文件0g6evy下载到本地,并且上传到尾部沙箱检测一下。用netstat -anp命令查看一下网络连接,发现出现了很多主动向外部链接的请求,而且是上面看到的那个占用cpu比较高的奇怪的进程做的。可以使用crontab -l先查看一下定时任务,可以发现这个0g6evy的文件,所在目录一直在改变。
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 2213
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6643
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 1017
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1545
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
挖矿病毒/远控木马排查思路(Windows系统)
qq_51845659的博客
03-18 5454
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔记)
linux服务器挖矿病毒处理方案
liu854046222的专栏
10-22 3998
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 3万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
3、应急响应-挖矿病毒脚本检测与清除&样本定性&入口修复
m0_65842464的博客
01-25 2238
Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner。
电脑是否中挖矿病毒
Jayus001的博客
12-13 6969
矿机、挖矿病毒挖矿、安全
记一次简单的挖矿病毒清除---实战
weixin_45300266的博客
01-09 2518
1、top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2、查看木马保存路径 通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号 3、进入到木马文件所在路径 通过进程号定位到病毒文件后,进入到对应的目录 cd /usr/lib/updated ls 或者 ls -alh 4、使用删除命令 rm -rf + 病...
Linux服务器挖矿木马病毒查杀记录(-bash mcrond bprofr pwnrig ntpdate dbused sysdr)
jackhanyuan的博客
10-09 2472
近期,服务器异常,通过htop或top命令查看CPU占用前几的进程,发现root用户的-bash进程把CPU一半的核占满,而另一台服务器上x用户(被新创建的用户)和一个普通用户CPU占用也异常。杀掉进程后立马又启动了新进程,查看PID目录,可以看到exe指向了一个被删除了的-bash进程(/usr/bin/-bash),使用查看State为的网络连接,发现有异常外网连接这应该就是-bash病毒木马了。
服务器挖矿了,靠
王兆镇的博客
09-15 222
docker容器封装redis时,挖矿病毒kdevtmpfsi的处理方法 但是我的服务器不是这样的,当走的第一步top第二步ps -ef|grep kdevtmpfsi的时候我确定被感染了, 但是第三步走不下去了,尝试了好多办法 最后解决方案 kill 11910 强行禁止了id 11910的进程 找到矿机文件并删除 rm -rf /tmp/kdevtmpfsi 重新创建kdevtmpfsi文件 touch kdevtmpfsi ...
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值