记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)

已于 2023-05-27 17:49:04 修改
阅读量2.4w 收藏 66
点赞数 38
文章标签: Linux sysupdate networkservice
于 2019-07-16 02:46:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daiyuhe/article/details/95683393
版权

同时发布:https://daiyuhe.com/clear-linux-mining-virus/

起因

闲来无事准备用服务器搭建个环境玩玩,连上服务器之后发现命令行卡的飞起,使用top看看cpu占用率,这里上前三截图。
cpu
sysupdate 系统更新??
networkservice 网络服务???

上阿里云管理控制台看看CPU占用率,占用率直接100%,再看看CPU以及内存的记录,已经被占领两三天了,阿里云也没有告警。
在这里插入图片描述

清除的过程

使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe
在这里插入图片描述
sysupdate、networkservice都在/etc/目录下

到etc下,除了sysupdate、networkservice 同时还有sysgu

最低0.47元/天 解锁文章
注意措辞
关注
记录一次sysupdatenetworkservice清除脚本记录
凌晨的博客
10-28 1706
SName=sysupdate NName=networkservice SPID=`ps -ef | grep 'sysupdate' | grep -v grep | awk '{print $2}'` NPID=`ps -ef | grep 'networkservice' | grep -v grep | awk '{print $2}'` echo $SPID echo $NPID ...
一次 svchost.exe 进程占用大量网络带宽的排查
大哥一声吼
07-23 1526
在新装完系统,第一次更新完之后,就可以直接先关掉传递优化功能了,这个功能的关闭只会影响一些Windows更新的速度,对其他功能无影响,可以大胆放心关闭。httpshttpshttpshttpshttpshttpshttpshttps。.........
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 617
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linux挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 3073
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录病毒的原理和查杀记录
linux centos7 解决挖矿病毒kthreaddk 高CPU占用
m0_66127371的博客
09-30 1798
病毒修复
Linux挖矿病毒sysupdate
RivenDong
07-07 1317
文章目录1. Aliyun中毒2. 解决方案2.1 删除定时任务2.2 杀死进程清除文件2.3 检查清理3. 补查 1. Aliyun中毒 好久不用我的Aliyun服务器,发现CPU使用率飙到了179%,发现是因为中了Linux挖矿病毒sysupdate引起的。 2. 解决方案 使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe ls -l /proc/22750/exe 进入/tmp下查看 2.1 删除定时任务 crontab -r 2.2 杀死进程清除文件
清除Linux挖矿病毒
三少
03-21 2011
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
Linux清理挖坑病毒sysupdate, networkservice
逸雅安然
07-08 676
清楚定时任务 crontab -l //显示定时任务 crontab -r //清楚定时任务 首先杀进程,kill -9 {进程号},然后删除文件. ps aux|grep sysupdate pa aux|grep networkservice kill -9 pid //杀死上面两个pid sysupdatenetworkservice配置都在/etc/目录下,就是:sysupdatenetworkservice 同时还有sysguard、update.sh,由于一般病毒会使用cha.
记录一次Linux解决sysupdata挖矿病毒过程
The_right_one的博客
05-31 925
记录一次Linux解决sysupdata挖矿病毒过程 公司项目上线测试时发现有进程后台cpu占用过高,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件: updata.sh config.json networkservics sysguerd(该文件未添加i权限可以直接rm -rf 文件名 直接删除) 解决办法 1.先尝试解决 找到病毒文件了现在就是直接删除看看: 很明显这个文件不能删除有权限 网上的方法是使用chat
一次真实的应急响应案例——篡改页面、sysupdatenetworkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
系统补丁查找和修复sysupdate
09-18
自动帮你找到系统漏洞并修复,系统补丁查找和修复sysupdate
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdatenetworkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系CSDN管理员删除即可
清除挖矿程序(sysupdate, networkservice进程
weixin_43960618的博客
08-15 552
1. top查看cpu使用状态 我们发现有两个进程cpu占用都超过100%了,而且我们也并不知道他是干嘛的。 2.通过进程号查询位置 ls -l proc/{进程号}/exe 3.干掉挖矿进程 kill -9 6249 kill -9 6292 4. 删除挖矿程序 主要包括networkservicesysguard、update.sh、config.json,sysupdate 直接删除可能无法删除,需要先执行 chattr -i chattr -i networkse.
解决挖矿病毒占用高cpu(sysupdatenetworkservice
周大侠的博客
04-01 5202
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、ww...
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1819
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 1016
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservicesysupdate,名称很像我们的系统进程, 3
linux服务器被挖矿的解决办法
白雪少年
09-07 9449
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
linux挖矿病毒分析
weixin_42915431的博客
12-21 2676
最近我的测试虚拟机中了挖矿病毒,有个奇怪的名为VP0eryom的进程,cpu占用率特别高,于是自己就折腾着分析,试着找出原因,下面是简单分析过程。
linuxnetwork service
04-12
的启动顺序是什么? 网络服务的启动顺序如果按照内核启动顺序,应该是: 1. 网络协议栈初始化(包括路由、ARP、ICMP等) 2. 网卡、驱动初始化 3. 网络文件系统(NFS)初始化 4. 网络接口初始化 ...
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值