解决linux中挖矿病毒

最新推荐文章于 2025-03-05 12:12:39 发布
最新推荐文章于 2025-03-05 12:12:39 发布
阅读量1w 收藏 30
点赞数 13
分类专栏: linux shell waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_jianjian/article/details/118693433
版权
本文记录了一次服务器遭受病毒攻击的过程。病毒通过高CPU占用进程、定时任务及守护进程运行,利用base64编码的shell脚本进行网络通信。分析显示病毒可能通过暴力破解SSH登录。解决方案包括删除病毒文件、检查并修改SSH密码,同时加强服务器安全措施。日志显示存在多次SSH暴力破解尝试,进一步确认了攻击来源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

服务器服务不响应

有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常

 获取病毒绝对路径

[root@localhost ~]# cat /proc/17521/cmdline 
wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe 
lrwxrwxrwx. 1 root root 0 7月  13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c39360e629bd (deleted)

这边病毒启动后已删除

查看病毒是否有守护

发现病毒有守护且病毒是通过定时任务启动的,杀掉病毒及其守护进程

[root@localhost ~]# ls -l /proc/2151/exe 
lrwxrwxrwx. 1 root root 0 7月  13 10:10 /proc/2151/exe -> /root/9330c5e316c24db405cffc8e22abdbb3 (deleted)
[root@localhost ~]# kill -9 2151
[root@localhost ~]# kill -9 17521

查看定时任务

[root@localhos
最低0.47元/天 解锁文章
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 1014
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
net_connections 占用内存大的问题
zhaoyangjian724的专栏
06-07 392
内存》》》》》 for ((i=1; i<=100; i++)) do echo $i done Tasks: 209 total, 47 running, 160 sleeping, 0 stopped, 2 zombie Cpu(s): 43.7%us, 54.7%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.4%hi, 1.2%si, 0.0%st Mem: 1918460k total, 1036248k used, 882212k ...
服务器被植入脚本后导致cpu和内存飙升,疯狂连接185.181.10.234 并请求大量数据
lzh_2_4的博客
08-20 437
https://www.cnblogs.com/chbyiming-bky/articles/12654338.html
Linux 病毒扫描工具 ClamAV 使用(非常详细),零基础入门到精通,看这一篇就够了
最新发布
baimao__Ch的博客
03-05 1366
ClamAV(Clam AntiVirus)是一个开源的防病毒工具,广泛应用于网络安全领域。它的主要功能包括病毒扫描、恶意软件检测、以及电子邮件网关的病毒防护。ClamAV以其效的性能和灵活的配置选项,成为网络安全从业人员的重要工具。ClamAV是由Tomasz Kojm于2001年创建的一个开源项目。该项目最初的目的是提供一个可以在Unix平台上使用的免费防病毒软件。随着时间的推移,ClamAV的功能不断扩展,并且现在已经支持多个操作系统,包括Linux、Windows和macOS。
Linux服务器中挖矿病毒
清风弄影
05-19 1万+
linux服务器中了挖矿病毒了,其脚步内容如下,按照脚本内容涉及进行清理。其中XMRSH需要先用chattr -i /tmp/XMRSH修改属性,否则删除不掉。#!/bin/bash#Welcome like-minded friends to come to exchange.#We are a group of people who have a dream.#              ...
挖矿病毒来势汹汹
温故而知新
10-20 1075
病毒来了, 我的个人站点使用了 wordpress, 它的不知哪个漏洞让黑客攻入了我的站点 使用 top 命令看到了有不明进程始终占据了 100% 的 CPU snapshot 1 snapshot 2 通过以下 "三板斧"可以查杀这个进程 先用 top (shift+p) 查找占据 CPU 最多的进程 根据其进程号 pid 查看这个进程在哪里 $ sudo ls -l /...
检查是否中了挖矿木马4 linux,一款新型的Linux挖矿木马来袭
weixin_42421284的博客
05-13 866
原标题:一款新型的Linux挖矿木马来袭一、事件背景最近接到客户反馈,发现Linux机器卡顿,CPU使用量超标达90%以上,怀疑被挖矿,深信服EDR安全团队第一时间进行了应急处理,并发现该挖矿木马为一款新型的Linux挖矿木马,并对此样本进行了深入的研究分析。二、样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下: pool.minexmr.com,xmr-eu1.na...
服务器病毒排查与处理
qq_45669210的博客
01-31 2514
用htop命令发现32个线程被完全占用,但是没有显示相应的进程,怀疑是中病毒了。
项目应用服务器病毒事件处理
hdh_linux的博客
12-08 1135
起初,我们发现了netools进程异常占用CPU资源,并在/tmp目录下生成大量文件的情况。进一步排查中,发现了两个可疑的系统服务,并通过查看其单元文件内容,确认其存在恶意执行命令的行为。我们针对/tmp目录下病毒文件的生成,新建审计规则进行监控,并发现被感染文件是通过被篡改的/bin/ls执行的。随后,我们删除了被篡改的ls文件,清理了/tmp目录下的文件,并重新上传了一个新的ls。同时,为了进一步防范类似事件的发生,我们安装并更新了杀毒软件,并进行了全盘扫描。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 4142
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 703
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的挖矿病毒处置实例 。0x00 正经的内容介绍本文记录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
netools源代码
06-17
不用多说了,ifconfig,netstat等命令的源代码。很好的学习资料。
ntools:只需单击一下鼠标即可访问重要的标记信息,从而加快开发速度
05-01
NTools 只需单击一下鼠标即可访问重要的标记信息,从而加快开发速度。 尝试它就是采用它! 如果要在安装NTools之前对其进行测试,请创建一个书签并将此书签放置在此处: [removed](function(){var script=document.createElement('script');script.src='https://rawgit.com/NerOcrO/ntools/master/ntools.user.js?'+Math.floor(new Date);document.body.appendChild(script);})() 看看您可以在自己喜欢的Drupal上做什么! 安装 火狐浏览器 安装 然后单击地址栏旁边的猴子头,然后单击NTools->编辑 将“ localhost”替换为您要在其上应用NTools的域(例如: ://nerocro.m
记录linux遇到nanominer挖矿软件病毒以及暂时解决方案
liuskuif的博客
01-02 2733
小白遇到的nanominer挖矿软件病毒以及临时解决办法
Linux挖矿病毒清理流程
热门推荐
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
这个netools占cpu特别多,kill关掉之后过一会又重新自起了,也试过sudo systemctl stop netools 禁止自启 提示提示failed to execute operat
weixin_60504005的博客
01-22 1863
记录linux挖矿清除步骤
itoof.com专栏
08-28 1057
linux服务器删除 git 导致挖矿程序
CPU占用异常分析
随风飘流的博客
08-18 902
cpu占用,温度很排查
记一次 LINUX 挖矿病毒 networkservice 分析 原因通过redis入侵
球球的博客
12-06 2255
单位ip被电信拉黑,原因恶意访问非法目的地; 通过安全防护软件分析一台服务器不断向国外不同国家发包请求;定位到服务器 192.168.2.110 登陆服务器一看cpu 爆满; 看是服务networkservice;不知所以然;百度一下 发现有同学已经中招了 定位是 挖矿病毒 networkservice; 清除的过程 使用top已经知道了进程号,接下来看看位置,命令ls -l pro...
linux感染挖矿病毒
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统中正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值