分享一次服务器被挖矿的处理方法

最新推荐文章于 2024-05-04 11:30:00 发布
最新推荐文章于 2024-05-04 11:30:00 发布
阅读量393 收藏 1
点赞数
文章标签: linux java 数据库 运维 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/didi_cloud/article/details/112006352
版权

问题现象:

  • CPU的使用率一直100%
  • 服务器卡顿,无法正常使用

疑似原因:

  • 系统密码较弱被破解
  • 安装的程序有漏洞被不法分子利用
  • 等等

排查步骤:

  • 使用top命令观察占用cpu程序的PID(注:恶意程序的名称千奇百怪)



v2-67e013e6e1ce231176a87b822104bac9_b.jpg


  • 通过PID查看该程序所在的目录:ls /proc/XXX/


v2-04cfd9d89d1c06ca9c57e5caaa75bb56_b.png


  • ​ 执行ll /proc/14202 查看该程序运行的目录


v2-f4878af59f9a92a0897505c554a7d04a_b.jpg


  • 进入该目录并进行查看都有哪些文件



v2-31ce05af8b1a4f45d0b7ed6f7f1c29ca_b.png



v2-30e636aa85cc822db6890ba62657d453_b.jpg


  • 将这些文件的权限全部修改成000,使这些程序无法继续执行:chmod 000 -R *



v2-3c2b2a8d65e30bd6ce2c787fe25bb4cc_b.jpg


  • ​ 以上基本可以找出恶意程序所在的目录了,接着我们将该程序kill 掉即可



v2-d4cfe0d202e66b80a4563c190cfae7ab_b.png


  • 持续观察即可(该示例通过观察30min,该恶意程序继续没有再执行)



v2-b360ec2efce761de491cefe336ddae6e_b.jpg


补充:

  • 建议执行crontab -l 查看是否有可疑计划任务在执行,如有请及时删除(crontab -r)
  • 通过上面的排查步骤我们可以看到cron程序是运行在/root/.bashtemp/a目录下的,但/root/.bashtemp/目录下还有很多这样的程序,所以也要执行:chmod 000 -R * 将所有恶意程序的权限清除
  • 一般来讲通过以上步骤可以将恶意程序干掉,但不排除不法分子还留有其他后门程序,为了避免类似情况发生,建议保存重要数据后重装操作系统
  • 后续请对服务器做安全加固,以免再次被入侵,比如更改默认远程端口、配置防火墙规则、设置复杂度较高的密码等方法

作者:董双磊

滴滴云-为开发者而生 滴滴云使者

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器被黑客攻击,用来挖矿,怎么办?
m0_63171455的博客
02-23 2644
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖...
一次 Linux 被入侵,服务器变“矿机”全过程.docx
12-25
一次 Linux 被入侵,服务器变“矿机”全过程
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1722
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。
一次服务器挖矿处理解决
最新发布
A_991128a的博客
05-04 596
last 列出当前和曾经登入系统的用户信息> 它默认读取的是/var/log/wtmp文件的信息> 输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。> 当然也可以通过 last -f 参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!IP 查询,如若未发现异常,推断应该是:攻击者清除了登录记录日志导致的。
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 2686
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
服务器挖矿问题解决
魏尚夫的成长之路
06-05 418
SSH爆破攻击分析即解决
服务器挖矿后如何处理
似水流年
07-15 2027
挖矿会使服务器硬件资源,如:CPU、内存消耗极大,但是一般运维人员处理挖矿攻击时最头疼的就是处理不干净,其实挖矿攻击能够成功主要方式是通过服务器安装的第三方工具内在的对外RestAPI进行的,这些第三方工具如果API存在漏洞就会很大程度被黑客攻击利用开放的端口进行攻击 攻击步骤: 1.申请新的application 直接通过curl进行POST请求 curl -v -X POST 'http://ip:8088/ws/v1/cluster/apps/new-application' 返回内容类似于:
分享一个网上的asp签到系统
01-06
ASP(Active Server Pages)是一种微软开发的服务器端脚本环境,用于创建动态网页或Web应用程序。这个"asp签到系统"应该是使用ASP编程语言编写的,用于实现在线签到功能,比如会议、活动或者学校等场景。从描述来看...
JSON客户端与服务器端生成JSON数据及传递方法
02-24
JSON 即 JavaScript Object Natation,它是一种轻量级的数据交换格式,非常适合于服务器JavaScript 的交互。本文将快速讲解 JSON 格式,并通过代码示例演示如何分别在客户端和服务器端进行 JSON 格式数据的处理。...
C#版支持高并发的HTTP服务器源码
09-30
5. **并发管理(Concurrency Management)**:为了防止过多的并发连接耗尽资源,服务器需要一种机制来限制同时处理的请求数量。这可以通过线程池、信号量或异步队列来实现。 6. **错误处理和异常安全(Error ...
服务器被黑客攻击,用来挖矿!怎么办?
wuli1024的博客
12-29 1388
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。
服务器挖矿怎么办,如何彻底删除挖矿文件
weixin_39922352的博客
06-06 3617
一分钟解决服务器挖矿,彻底删除挖矿程序
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 1263
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
服务器挖矿了怎么办
wtj318_的博客
09-07 272
挖矿了怎么办
linux服务器挖矿的解决办法
白雪少年
09-07 9108
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
阿里云服务器挖矿的解决方法
qq_47464056的博客
07-25 4887
服务器被入侵植入挖矿程序!
阿里云服务器挖矿怎么办
网站安全专家
02-11 5056
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
服务器挖矿木马攻击该怎么处理
weixin_34101784的博客
02-12 535
2019独角兽企业重金招聘Python工程师标准>>> ...
服务器挖矿了需要重装系统吗
06-10
一般情况下,云服务器挖矿后最好的解决办法是重装系统。因为挖矿病毒通常会在系统中留下一些后门或者恶意程序,这些程序可能会继续在后台运行,重新感染服务器或者窃取敏感信息。所以,为了确保服务器安全,建议重...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值