记录一次centos被挖矿病毒感染的经历

最新推荐文章于 2024-09-04 11:03:23 发布
最新推荐文章于 2024-09-04 11:03:23 发布
阅读量1.4w 收藏 13
点赞数 3
分类专栏: 运维杂事 文章标签: 运维 linux挖矿病毒 confluence漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengwuxichen/article/details/89574599
版权

公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。记录一下临时处理记录。

安装busybox
由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。具体步骤不再赘述。

中毒表现
ps: 这台机器已经是第三次中毒了,第一次是khugepageds,第二次是在/tmp目录下有临时文件一直生成并执行,这次是有一个* **进程在狂占CPU。手动杀掉之后过几秒就会自动拉起。

[root@test-03 proc]# busybox top
Mem: 6404212K used, 1607008K free, 403076K shrd, 32K buff, 801420K cached
CPU:  100.0% usr  0.0% sys  0.0% nic  100% idle  0.0% io  0.0% irq  0.0% sirq
Load average: 0.07 0.33 0.22 2/437 30215
  PID  PPID USER     STAT   VSZ %VSZ CPU %CPU COMMAND
31431     1 root     S    76236  0.9   0  99.0 * **
14179     1 root     S    6211m 79.1   0  0.0 /opt/atlassian/confluence/jre//bin/java -Djava.util.logging.config.file=/opt/atlassian/confluence/conf/logging.properties -Djava.util.logging.man
 9817  9621 mysql    S    2419m 30.8   2  0.0 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --log-error=/var/log/mysqld.log --pid-file=/var/run
 9549     1 root     S     664m  8.4   1  0.0 /usr/sbin/rsyslogd -n
 9581     1 polkitd  S     517m  6.5   1  0.0 /usr/lib/polkit-1/polkitd --no-debug
 9548     1 root     S     513m  6.5   1  0.0 /usr/sbin/NetworkManager --no-daemon
 9557     1 root     S     495m  6.3   1  0.0 /usr/sbin/libvirtd
14076     1 root     S     403m  5.1   0  0.0 /usr/libexec/packagekitd
 9547     1 root     S     328m  4.1   0  0.0 /usr/sbin/ModemManager
14084  9848 root     S     142m  1.8   2  0.0 sshd: root@pts/0
29658  9848 root     S     142m  1.8   2  0.0 sshd: root@pts/1
    1     0 root     S     122m  1.5   2  0.0 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
14093 14084 root     S     113m  1.4   2  0.0 -bash
29668 29658 root     S     113m  1.4   0  0.0 -bash
 9621     1 mysql    S     110m  1.4   2  0.0 {mysqld_safe} /bin/sh /usr/bin/mysqld_safe
 9540     1 root
最低0.47元/天 解锁文章
fengwuxichen
关注
专栏目录
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 950
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
linux机器中毒,Centos系统中毒(sfewfesfs)处理过程记录
weixin_42309599的博客
05-14 812
Centos系统中毒(sfewfesfs)处理过程记录2014年10月16日今天是我的班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是我们的云平台manager。它的中毒不仅影响了自己本身的云主机而且影响到了整个平台,作为一个运维人员的我一时间不知所措,但是问题总是要解决靠别人不如靠自己到什么时候都是如此废话不多说具体的排查步骤如下:1、用top性...
记录一则因Polkit服务异常导致Docker无法启动的故障处理事件
最新发布
Mao1858的博客
09-04 1123
polkit服务异常导致Docker无法启动
centos中毒后,解毒全过程
巴菲先生
12-02 1887
作为一个小长搬砖工,碰见linux运维的事情真的是有心无力(尤其linux知识有限的情况)。记录下最近因为cup达到300%的处理流程,仅作记录以便日后排查。以下是两次处理病毒的过程,如果碰见相关问题的朋友,最好都看完再进行操作。 某天零晨阿里服务器发来报告说存在恶意程序,疑似挖矿程序。 隔天(凌晨12点,又是一个测试机子,真心没精力跟他熬夜),打开服务器,输入命令查看cup进程 t...
Centos系统中毒(sfewfesfs)处理过程记录
weixin_34163553的博客
10-17 408
Centos系统中毒(sfewfesfs)处理过程记录 2014年10月16日今天是我的班,正好在我接班的时候出现了一个我从未遇到过的问题那就是服务器中毒了在不停的向外发包,这个服务器是我们的云平台manager。它的中毒不仅影响了自己本身的云主机而且影响到了整个平台,作为一个运维人员的我一...
Linux服务器CPU占用100%,Error: No space left on device,khugepageds挖矿病毒引起
白鸿源的博客
06-18 1371
最近部署docker运行的时候提示:Error: No space left on device(磁盘空间不足) df -h 查看磁盘使用情况,发现磁盘并没有占用满 df -i 继续查看 inode 使用情况,发现也没有占用满 查看阿里云服务器控制台,CPU使用显示占用100% 运行# top发现%Cpu(s): 2.0 us, 1.7 sy, 0.0 ni,96....
centos出现病毒问题 解决思路
ADCadc123456789的博客
07-17 1052
利用top 查看cpu 占用情况于异常情况 现在常见病毒挖矿) 此时cpu 占用率载99% 左右 找到对应pid 方式一: lsof -p pid进程号 查看可以文件 进行病毒排查 方式而 ps aux| grep COMMAND编号 删除 找到得文件 查看 定时任务 crontab -l 列出定时任务 crontab -e 删除异常定时任务 vim /etc/crontab cd /etc/cron.d 次目录下有两个文件 vim 0hourly vim sysstat.
CentOS中kdevtmpfsi病毒
jinglinggg的专栏
12-06 1360
CentOS中kdevtmpfsi病毒,几日的查杀,最终失败!
一次centos挖矿病毒处理经过
a345203172的专栏
10-08 1683
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7896
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
iptables-1.4.21-24.el7.x86_64.rpm
03-26
修复 kube-proxy 报错:Failed to execute iptables-restore: exit status 1
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 943
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
linux服务器Centos7中病毒记录
on the way . . .
03-23 2814
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次记录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
云主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 6010
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
centos服务器中毒
qq_42296835的博客
06-13 371
查看该目录下的 01、11、22内容可以看到几个数字,01文件存放病毒守护进程pid、11文件存放病毒运行进程pid、22为一个空文件,功能暂时不清楚。CPU占用一直比较高,初步分析是挖矿程序。查看系统的crontab –l显示调度列表如下。此外,病毒还会在后台设置守护进程,查看方式。使用bash64解密后内容。
记:解决阿里云服务器挖矿程序恶意进程
绮梦寒宵的博客
10-26 3203
今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护): 解决过程: 1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图: /bin/dhpcd 占用了99%的内存 2.查看定时任务,是否有不明的定时任务 ①使用crontab -l命令查看,没有发现不明定时任务 ②cat /etc/crontab,同样没有发现不明定时任务 3.检查端口的状态 netstat -aulntp 发现tcp连接有一个不明的外国ip 复制到
Linux Centos qW3xT.4 病毒解决过程
KyrieCao的博客
11-25 1186
前言 这些天在用Xshell连接阿里云服务器出现了卡顿现象,由于Linux不太熟悉,就是网上查找原因,说什么是Xshll的问题,后来看到有人说CPU占用过高问题,果然没错是CPU占用率过高的原因。 看图 首先看到这个qW3xT.4这个进程,CPU占用99.9%这就有点气,这是个什么东西,直接kill -9 13645瞬间感觉活过来,特别流畅,结果过了一会这个东西又出来了。完全蒙蔽。然后就各种百...
linux 添加病毒,centoslinux病毒处理
weixin_28964423的博客
05-11 201
基本与一篇文章类似环境 :centos6.4 x86_64现象:局域网连接时断时续, ping包有丢包,路由器指示灯狂闪, 服务器cpu利用率 98%左右1.发现网络流量异常,根据路由器上指示灯找到异常的服务器,运行 top命令,发现是可疑进程是长度10左右的随机字符串,2. ps 尝试kill掉可疑进程,但进程扔自启动3. 猜测是添加了开机启动脚本和定时任务 , 检查位置 /etc/init.d...
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值