记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)

已于 2023-05-27 17:49:04 修改
阅读量2.4w 收藏 66
点赞数 38
文章标签: Linux sysupdate networkservice
于 2019-07-16 02:46:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daiyuhe/article/details/95683393
版权

同时发布:https://daiyuhe.com/clear-linux-mining-virus/

起因

闲来无事准备用服务器搭建个环境玩玩,连上服务器之后发现命令行卡的飞起,使用top看看cpu占用率,这里上前三截图。
cpu
sysupdate 系统更新??
networkservice 网络服务???

上阿里云管理控制台看看CPU占用率,占用率直接100%,再看看CPU以及内存的记录,已经被占领两三天了,阿里云也没有告警。
在这里插入图片描述

清除的过程

使用top已经知道了进程号,接下来看看位置,命令ls -l proc/{进程号}/exe
在这里插入图片描述
sysupdate、networkservice都在/etc/目录下

到etc下,除了sysupdate、networkservice 同时还有sysgu

最低0.47元/天 解锁文章
注意措辞
关注
清除挖矿程序(sysupdate, networkservice进程
weixin_43960618的博客
08-15 554
1. top查看cpu使用状态 我们发现有两个进程cpu占用都超过100%了,而且我们也并不知道他是干嘛的。 2.通过进程号查询位置 ls -l proc/{进程号}/exe 3.干掉挖矿进程 kill -9 6249 kill -9 6292 4. 删除挖矿程序 主要包括networkservicesysguard、update.sh、config.json,sysupdate 直接删除可能无法删除,需要先执行 chattr -i chattr -i networkse.
记录一次sysupdatenetworkservice清除脚本记录
凌晨的博客
10-28 1706
SName=sysupdate NName=networkservice SPID=`ps -ef | grep 'sysupdate' | grep -v grep | awk '{print $2}'` NPID=`ps -ef | grep 'networkservice' | grep -v grep | awk '{print $2}'` echo $SPID echo $NPID ...
一次 svchost.exe 进程占用大量网络带宽的排查
大哥一声吼
07-23 1540
在新装完系统,第一次更新完之后,就可以直接先关掉传递优化功能了,这个功能的关闭只会影响一些Windows更新的速度,对其他功能无影响,可以大胆放心关闭。httpshttpshttpshttpshttpshttpshttpshttps。.........
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 645
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Powershell 挖矿病毒处理与防范
chuzha3064的博客
08-20 3882
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。 Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010“...
阿里云服务器被挖矿程序minerd入侵的终极解决办法
danson_yang的专栏
12-19 2383
突然发现阿里云服务器CPU很高,几乎达到100%,执行 top c 一看,吓一跳,结果如下:  3798 root      20   0  386m 7852 1272 S 300.0  0.1   4355:11 /tmp/AnXqV -B -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443 -u 4Ab9s1RRpueZN2XxTM...
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 1955
一次Liunx挖矿应急处置流程
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
Linux清理挖坑病毒sysupdate, networkservice
逸雅安然
07-08 677
清楚定时任务 crontab -l //显示定时任务 crontab -r //清楚定时任务 首先杀进程,kill -9 {进程号},然后删除文件. ps aux|grep sysupdate pa aux|grep networkservice kill -9 pid //杀死上面两个pid sysupdatenetworkservice配置都在/etc/目录下,就是:sysupdatenetworkservice 同时还有sysguard、update.sh,由于一般病毒会使用cha.
记录一次Linux解决sysupdata挖矿病毒过程
The_right_one的博客
05-31 925
记录一次Linux解决sysupdata挖矿病毒过程 公司项目上线测试时发现有进程后台cpu占用过高,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件: updata.sh config.json networkservics sysguerd(该文件未添加i权限可以直接rm -rf 文件名 直接删除) 解决办法 1.先尝试解决 找到病毒文件了现在就是直接删除看看: 很明显这个文件不能删除有权限 网上的方法是使用chat
一次真实的应急响应案例——篡改页面、sysupdatenetworkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdatenetworkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系CSDN管理员删除即可
解决挖矿病毒占用高cpu(sysupdatenetworkservice
周大侠的博客
04-01 5208
我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、ww...
一次清除Linux挖矿病毒经历(sysupdate, networkservice进程)
小陈没烦恼
12-04 806
前言 今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被挖矿了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己记录一下,方便以后查看。 查看CPU使用情况 通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。 删除木马...
【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 1883
病毒来源安装脚本旷池提供的卸载脚本。
解决win11网络连接
weixin_44745717的博客
12-24 4234
1.按Windows+R,然后在输入框中输入Services.msc,按回车,弹出"服务"的对话框。3.找到"服务状态"选择 停用,"启动类型"下拉菜单选择 禁用。4.点击 应用 ,重启设备。
linux挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 3087
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录病毒的原理和查杀记录
Win10中80端口被NETWORK SERVICE 占用
suowei_1的专栏
09-25 1190
配置apache2.4时,启动不了服务,提示端口占用。查询各种80端口被占用的解决办法,现总结: 1、打开cmd查看端口被占用情况  netstat -ano;发现是线程4占用; 2、查看一下当前的http服务状态         netsh http show servicestate     在最后请求队列中显示进程ID是:4008(随机),     在任务管理器中查看对应PID=4008...
linuxnetwork service
04-12
的启动顺序是什么? 网络服务的启动顺序如果按照内核启动顺序,应该是: 1. 网络协议栈初始化(包括路由、ARP、ICMP等) 2. 网卡、驱动初始化 3. 网络文件系统(NFS)初始化 4. 网络接口初始化 5. DHCP 客户端启动 6. DNS 客户端启动 7. TCP/IP 客户端启动 8. DHCP 服务器启动 9. DNS 服务器启动 10. TCP/IP 服务器启动 但实际上不一定按照这个顺序启动,因为不同的发行版和版本配置不同,所以具体启动顺序还需要参考相应的文档。
评论 23
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值