记一次Linux系统的挖矿病毒处理

已于 2022-06-02 15:01:14 修改
阅读量873 收藏 1
点赞数
文章标签: linux 服务器 运维 安全
于 2022-06-02 12:56:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chiyich/article/details/125098690
版权

前段时间,服务器上观察到了很多异常的GPU占用,有的服务器上nvidia-smi中可以看到显存占用,但不显示PID,有的服务器上会显示PID,主要的特征都是占用了多卡、4G左右的显存,且网络流量出现了一定的异常。这种情况一般都是服务器中了挖矿病毒。

实际上,如果是普通用户中了挖矿病毒还比较好处理,简单的方式是直接删掉该用户,或者只关注这个用户的进程和自启动列表即可;但有的服务器是root账号中了挖矿病毒,就给杀毒带来了很大的挑战。

因此,开个帖子简单记录一下这次挖矿病毒的处理过程。

一、若nvidia-smi可以直接看到进程pid

1.1 使用ps aux | grep [pid]就可以看到对应进程的相关用户。

1.2 使用ps aux | grep [User]就可以知道该用户对应的相关进程。

1.3 关注python(挖矿进程)、crown(守护进程)这类可疑进程。

二、若nvidia-smi中无法看到进程pid

2.1 使用sudo unhide proc查看被隐藏的进程pid

2.2 一般是python(挖矿进程)、crown(守护进程)

三、相应的处理办法

3.1 除了lsof指令外,如何查看被隐藏的进程相关调用:先找到进程的目录文件cd \exec\[pid],然后用sudo tree查看进程树。

3.2 可以在exe栏中看到该进程对应的执行文件,用rm命令删掉相应的文件。

3.3 查看被盗用用户是否有自启动进程:crontab -l -u [User]

3.4 将上述的隐藏进程全部sudo kill -9 [pid],观察实际情况,使用sudo unhide procps aux | grep [User]再次确认对应用户的进程是否正常。

3.5 若有,在文件编辑器中删掉对应用户的进程 crontab -e -u [User]

3.6 注意该用户home/.ssh目录下的authorized_keys文件是否有异常公钥,注意该用户的密码是否强度过低。

如果删不掉相应的文件,可能是文件的attr属性被设置了写入保护,需要使用chattr去掉该文件和父文件夹的写入保护属性。

需要注意的是,一般被盗用账号存在的问题普遍是:

ssh没有关闭root登录、用户密码过于简单,并且建议服务器只采用key认证的方式登录。

formeT_T
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux挖矿病毒分析
清扬叶
04-01 1521
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒处理问题: 使用top查询到networkservice和...
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9771
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
急,CPU被挖矿了,却找不到哪个进程
m0_67505824的博客
03-21 1279
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接
nvidia-smi 可以显示gpu占用量和使用率,但不显示PID等详细进程信息的解决方法
samoyan的博客,记录技术成长~
05-29 2638
使用fuser命令可以查看哪些进程正在使用指定的文件或目录。在Linux系统中,GPU设备通常被映射到/dev/nvidia*文件中,因此可以使用fuser命令来查看哪些进程正在使用GPU设备。在上述示例中,可以看到/dev/nvidia0设备正在被PID为1234的python进程使用,/dev/nvidia1设备正在被PID为5678的tensorflow进程使用。执行上述命令后,会列出所有正在使用GPU设备的进程号和相关信息。使用fuser -v /dev/nvidia*查看使用gpu的进程号。
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1582
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒
Senoh的博客
09-30 3477
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
一次linux隐藏进程libgcc_a挖矿木马处置
beichenyyds的博客
01-15 1517
隐藏进程挖矿应急处置
一次挖矿病毒处置
qq_38377190的博客
10-27 649
一次挖矿病毒处置 CPU一直飙高,但是查看top命令,没有查到使用CPU很高的进程,挖矿病毒pid被隐藏了。 需要先显示隐藏的挖矿进程pid,打开文件/etc/ld.so.pedload,发现此文件加载了能够隐藏pid的so文件 删除此文件内的所有内容后,挖矿进程能正常显示 lsof-p15126进入到可疑的执行文件路径 Cd进入对应的文件夹 删除该两个文件。发现该目录文件删除后又会产生,这里将可执行文件的权限设为000,使其无法执行 chmod000...
·Linux挖矿病毒应急响应
chongya927的博客
03-01 1964
Linux挖矿病毒应急响应
Linux系统中清剿病毒.pdf
09-06
ClamAV为Linux用户提供了一个强大的工具来抵御病毒和其他恶意软件,确保系统的稳定和数据的安全。在日常维护中,除了安装和配置杀毒软件外,还应遵循良好的网络安全实践,如定期备份重要数据,限制不必要的网络访问...
如何做好Linux病毒系统的防护.pdf
09-06
Linux操作系统环境中,尽管其设计的安全性相对较高,但随着用户基数的增长和网络连接的普及,Linux病毒防护已经成为了一个不容忽视的问题。以下是一些关于如何做好Linux病毒防护的知识点: 1. **理解Linux病毒...
Linux系统病毒防治详解.pdf
09-06
Linux系统病毒防治详解.pdf
一次linux服务器入侵应急响应(小结)
09-14
主要介绍了一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
计算机病毒与防护:Linux文件系统管理.pptx
06-10
计算机病毒Linux文件系统管理是IT领域中两个重要的概念。首先,我们来了解计算机病毒,它们是恶意软件的一种,能够自我复制并传播,通常通过网络、U盘等媒介感染计算机,破坏系统或窃取敏感信息。为了防范病毒,...
服务器提示有挖矿程序,是怎么回事
weixin_42341543的博客
03-25 1992
在提示我有挖矿程序后,我去阿里云的安全中心,看到有三个病毒进程警告,但是都结束进程失败,然后我询问售后工程师,售后工程师给我的回复时格式化云盘。因为没有找到更好的解决方式,就选择了重新安装系统和格式化云盘,已彻底清除病毒。 另外,如果没有主动进行挖矿程序,可能是因为安装的某些程序引起的。比如:安装redis时没有设置密码,或者使用默认端口都有可能引起病毒入侵。所以在安装redis时,不要使用默认端口6379,并且设置较为复杂的密码。 ...
ps aux|grep
Ray的专栏
07-21 2785
ps a 显示现行终端机下的所有程序,包括其他用户的程序。 2)ps -A 显示所有程序。  3)ps c 列出程序时,显示每个程序真正的指令名称,而不包含路径,参数或常驻服务的标示。  4)ps -e 此参数的效果和指定"A"参数相同。  5)ps e 列出程序时,显示每个程序所使用的环境变量。  6)ps f 用ASCII字符显示树状结构,表达程序间的相互关系。  7)ps -H
Linux挖矿病毒】进程名Kthreaddk, 执行文件名qwieot处理方法
qq_48081868的博客
12-25 2471
项目场景: Linux服务器挖矿病毒 输入htop,看到cpu使用率达到百分之百。 挖矿进程名:Kthreaddk 挖矿文件名:qwieot 问题描述: 在我快乐地用Linux服务器的时候,突然感觉命令行敲得很卡。输入htop查看原因,发现是cpu使用率达到100,被挖矿程序给占领了。 首先的操作是尝试Kill 掉挖矿进程 ,执行kill -9 PID,但是发现程序会自动重启,很快cpu又满了。 第二,我们可能知道是因为病毒程序设置了 定时任务,执行 #查看定时任务 crontab -l 发现确实系统
Linux 遭入侵,挖矿进程被隐藏排查
weixin_30664539的博客
03-15 1566
今天来给大家分享下这两天遇到的一个问题,服务器挖矿了,把我的排查录分享下,希望能帮到有需要的同学。 问题原因 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 登陆问题主机10.92.0.X,通过执行top命令查看资源使用情况如下 cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进...
CentOS7 服务器挖矿病毒 删除又重新生成处理
jnloverll的博客
04-30 2158
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/TankRuning/article/details/103527323 收起 特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliy...
linux系统的workminer挖矿病毒如何处理
04-15
对于这个问题,我可以给出以下建议:首先,您可以安装杀毒软件对系统进行全面扫描和清理。其次,您可以关闭所有不必要的端口,以减少矿工病毒的入侵风险。最后,您可以采取安全措施来保护您的计算机系统,比如定期更新防病毒软件和系统补丁,以及加强密码安全等。但请注意,以上建议都是基于技术性的分析和参考,具体操作还需根据您的个人实际情况而定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值