如何检查并清除挖矿程序

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量7.7k 收藏 8
点赞数 5
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haodoubi/article/details/113858551
版权

1.检查cpu使用率

根据cpu使用率曲线确定2.11日可能被注入挖矿程序,根据top确定挖矿程序进程kdevtmpfsi

2.确定挖矿进程源程序位置

find  /  -name kdevtmpfsi

ll  查看安装时间,对比cpu突然拔升时间

 

3.检查psadm2用户的合法性

4.检查root或者psadm2用户下是否有定时挖矿的复制文件任务

crontab -l

crontab -r 删除定时任务

5.杀死挖矿进程

pkill kdevtmpfsi

6.删除挖矿程序

rm -rf   /tmp/kdevtmpfsi

7./etc/rc.local /etc/rc.sysinit /etc/inittab /etc/profile 这些开机启动的系统配置目录下面可能有挖矿程序的脚本,检查一下

哈皮boy
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 1544
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序
集群挖矿脚本排查日记
tandz_t的博客
01-02 1200
集群挖矿脚本排查日记1、事件描述2、关键点总结3、解决方案和建议 1、事件描述 集群挖矿脚本,这种事情遇到过好几次了,以前的基本上都是通过yarn的8088端口进来的,然后运行很多的application直接撑爆你的cpu,这种只需要关掉8088的外网访问端口基本就能解决。但是这一次遇到一个非常恶心的挖矿脚本,废fa不多说,先上脚本(如图): 大家可以看到这个脚本是有多恶心,这个还不是最恶心的地方...
挖矿检查及处理
qq_29005979的博客
02-19 675
挖矿检查 /var/log/secure日志中存在大量密码错误登录信息(打开后有一堆信息,好像是有直接查看的命令来着) 执行pam_tally2,存在大量用户错误尝试密码信息 系统存在未知的高CPU使用率进程; /var/spool/cron/目录不为空,且文件中存在未知程序; 执行lsattr $(which ssh)出现i或者a等属性(root失陷); 使用root执行netstat -antp,出现大量目的地址不明的连接。 Linux服务器挖矿病毒处置与加固步骤: 重装系统,如果数据盘独立分区,
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1071
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
应急响应--164天:挖矿脚本检测,威胁情报
wuqingsix的博客
02-14 385
记录病毒在文件夹出现的时间,重要病毒线索特征,将挖矿文件放到奇安信威胁情报中心,微步在线进行上传查杀确认。kill掉进程 挖矿病毒会在每次启动时继续运行(防止重启) 查看计时任务;运行webshell查杀工具(河马)找到病毒出现的原因(后门啊)与病毒出现在文件夹中的时间做对比。或者 定时任务文件所在位置(通常情况下在/var/spool/cron/文件夹里)服务器管理器---事件查看器---windows日志---安全 (查看登录记录)cpu---javs.exe(病毒程序)
【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 2331
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2766
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
闲置已久的服务器发现被拿来挖矿,刨根找挖矿进程
波波的博客
04-14 1320
无意间,top -c shift M查看了一下进程,发现其中有两个都是cpu占用100%的,非常奇怪,于是找到文件打开看了一下日志惊呆了,,, Loaded plugins: fastestmirror Loaded plugins: fastestmirror Loaded plugins: fastestmirror lrwxrwxrwx 1 nginx nginx 0 Apr 11 01:25 /proc/3669/exe -> /tmp/phpupdate ./phpupdate ...
Python 程序设计 单词检查
11-15
Python 程序设计 单词检查 这个程序在执行时会先列出字典内容,如果找不到符单词会在Python Shell窗口列出此单词。...这个程序具有两个 按钮,"拼写"按钮可以执行拼写检查,"清除"按钮可以将红色显示的字改为正常显示。
libgcc-a挖矿木马清除脚本
05-19
用于清楚Xmrig木马变种libgcc_a
S7-200 PLC如何清除程序?.docx
03-22
在编程或调试过程中,有时需要清除S7-200 PLC的程序,以便重新编写或恢复出厂设置。以下是清除S7-200 PLC程序的三种方法: 1. 使用Micro/WIN软件清除程序: - 首先,确保已安装了西门子的编程软件STEP7-Micro/WIN...
正则表达式简单的检查输入email是否合法程序
10-30
函数chkEmail还包含错误处理机制,当函数遇到错误时,将清除错误信息,并继续执行下一步操作。 优点: 该程序的优点是简单易用,易于理解和维护。但是,该程序的缺点是不能检查email地址的所有可能的非法格式,例如...
数据清除程序.rar
05-05
然后,重点研究如何在梯形图中设置清除指令,并理解这些指令的运行效果。 在实际应用中,数据清除不仅限于程序启动时的一次性操作,也可能需要在程序运行过程中动态进行。例如,当某个条件满足时,PLC需要清除某些...
[linux] 挖矿程序的停止与清除
W1a2b3D的博客
09-21 639
实验室的linux服务器被运行了挖矿程序。gpustat查询后发现:四张显卡都被占满,GPU显存占用不大,但使用率为100%。使用htop找到父进程,再kill进程。
记一次简单的清理挖矿程序过程
weixin_30827565的博客
04-11 4299
收到告警信息,有一台服务器被攻击,留下了挖矿程序。清理过程如下: 1、top命令找到可疑程序: 2、找到之后,就把这个程序kill掉了,但是过了一会儿,发现程序又自动起来了 3、怀疑有定时任务,于是查看定时配置,发现了可疑的配置: 4、注释掉定时任务(没有立即删除,先注释掉了) 5、重新杀掉新的libstdc进程 6、查找本地是否存在i.sh和libstdc文件,发现没有i.s...
linux 出现md挖矿程序,遭遇挖矿程序怎么办?看这里你就明白了
weixin_32026659的博客
05-02 1074
问题分析1. 两台服务器收到告警,top 查看进程发现如下可疑进程# topPID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND19078 vmuser 20 0 680232 14284 1032 S 342.8 0.1 1583:11 md501 vmuser 20 ...
对于挖矿的检测以及防御方案
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-21 1828
网上对于挖矿的检测也有很多的专业文章,笔者在此就对网上的文章做一个汇总再加上自己的一些不太成熟的想法,欢迎各位师傅们的探讨,当然,检测的方法还是从2个方向出发,基于流量层的检测以及主机行为的检测。
关于服务被挖矿程序minerd入侵解决方法
热门推荐
Hu_wen的专栏
07-14 5万+
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件 本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 8997
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
windows挖矿程序下载
07-27
1. 更新和运行杀毒软件:确保你的杀毒软件是最新版本,并进行全面的系统扫描,以查找和清除任何潜在的恶意软件。 2. 定期更新操作系统和应用程序:及时安装操作系统和应用程序的安全更新,以修复已知的漏洞和弱点。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值