linux被挖矿处理xmrig、kdevtmpfsi程序挖矿

最新推荐文章于 2024-04-15 11:05:34 发布
最新推荐文章于 2024-04-15 11:05:34 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: linux 安全 文章标签: docker linux centos 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangxiangdi/article/details/105027274
版权

标题:linux被挖矿,处理xmrig、kdevtmpfsi挖矿程序

这两天老是收到阿里的警告:
在这里插入图片描述
已经明显提示被挖矿可有后台可疑程序在运行

1.排查:

命令行输入:

top

在这里插入图片描述

发现两个可疑程序,分别是 xmrigkdevtmpfsi 通过百度发现两个都是挖矿程序。

2.排查:

在使用top命令查看时发现这两个挖矿程序时有时无,初步怀疑是定时运行的。

1.使用kill -9将进程杀死:
kill -9 pid

在这里插入图片描述
再次使用top命令查看时发现还在运行,再次深入。

2.查看定时任务:
crontab -l

在这里插入图片描述
发现无异样???陷入沉思。

。。

。。。

。。。。

3.使用全盘查找这两个挖矿程序:
find / -name xmrig
find / -name kdevtmpfsi

在这里插入图片描述
发现全部是在docker目录下的,所以断定时docker在使用的过程中被攻击并植入了挖矿程序。

3.处理

断定了是docker出现的问题,查看docker中运行的容器:

docker stats $(docker ps --format={{.Names}})

在这里插入图片描述

我得个乖乖有一个直接飙135%多的cpu占有率的容器。

1.删除掉该容器:
docker rm -f 容器id
2.删除掉不是自己拉取的镜像:
docker rmi -f 镜像id
3.再次使用top查看程序占用率

发现没有占有率比较高的离谱的进程ok了。

看一下服务器运行的监控:

系统各项指标呈直线下滑状态,恢复了平静。
在这里插入图片描述

4.后续处理

问题分析:

为什么会通过docker进行植入挖矿程序:

1.开启了docker的远程访问,但是为设置访问认证

2.使用来历不明的镜像

3.安装的docker非来自官方

等等。。

我存在的问题分析

使用了IDEA开发工具一键部署到docker,docker开启了远程访问,并且未设置访问认证。

处理方式:

1.因为docker开启了远程访问,为了安全起见设置docker的CA认证来保证安全,甚至改端口。

2.通过在阿里控制台得知了攻击方的ip可以使用防火墙进行拦截。

itrondi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
linux挖矿检测脚本
07-25
执行自动检测
Linux挖矿-通用处置v1.0.pdf
最新发布
04-22
扎根科技 191文章 22万总阅读 查看TA的文章> ...移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施和技术。随着移动设备的普及和移动应用的快速发展,移动安全变得越来越重要。
linux 处理挖矿
an74520的专栏
04-07 1333
查看crontab watch crontab -l 发现有定时脚本 以下是脚本内容 删除crontab挖矿脚本配置,并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.
linux处理挖矿
weixin_38689747的博客
05-31 33
处理挖矿病毒 1清tmp的执行文件 2清ssh无密登录 3清bin下的执行文件 etc 4清软链 5清守护进程 6清理crontab 参考 https://cloud.tencent.com/developer/article/1929179
安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
04-15 1734
旷池提供的卸载脚本,可直接通过此脚本卸载,卸载后修改登录密码,关闭非必须开放的端口,然后观察一段时间是否还会重启即可。因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除。终端历史执行命令记录中的截图,可以看到病毒安装的脚本。进程ip:47.76.163.177 为美国IP,kill -9 杀掉之后自动重启。找到所有相关的服务,全部删除。如果有定时任务则删除掉。高cpu和高内存占用。
一个Linux挖矿的简单处理
信息安全
04-06 1659
由于平时很少接触linux的病毒现场,特意找到了一个之前处理过的现场进行复现,算是对linux命令的掌握以及对linux病毒的了解 执行挖矿病毒 使用top命令,站cpu占用率 可以看到PID为28842的进程占用已经为97.3% 然后使用netstat -antp看网络查看网络连接 经过搜索,这两个ip都为矿池ip,到这就可以判断这是一个挖矿病毒了 cd /proc/28842进入进程号目录...
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 1558
记一次Liunx挖矿应急处置流程
记录ECS Linux系统出现xmrig挖矿程序
Any1992的博客
12-28 1734
记录ECS Linux系统出现xmrig挖矿程序 最近收到阿里云检测服务器出现了紧急安全事件:挖矿程序,炸一看,额...... ,吓了一跳,这是哪里冒出来的,结果看到如下图所示,开始进行了排查。 原因分析: minerd 挖矿程序一般存在于/tmp/目录下 可通过以下方式进行排查是否存在相关进程: 在服务器上执命令:top 上图,可以看到占用大量CPU资源是minerd。 在服务器上执行:ps 排查相关占用CUP资源最多的程序处理方式 使用命令 :kill -9
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsixmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法...
weixin_32463071的博客
05-06 1050
一、警告二、解决病毒1.docker 引发的挖矿程序的惨案(1)病毒原因(2)解决病毒2.定时任务crontab不能更改3.更改ssh端口4.莫名的curl,导致CPU过高三、完成一、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。二、解决病毒1.docker 引发的挖矿程序的惨案发现linux系统中使...
linux下中断处理程序示例,含驱动和应用程序
08-19
Linux操作系统中,中断处理是系统核心功能的一部分,它负责响应硬件事件并执行相应的处理程序。这个示例包含了中断处理程序的驱动和应用程序,旨在帮助开发者深入理解这一关键概念。 中断是计算机硬件向处理器...
linux服务自动启动
08-16
linux服务自动启动
linux cpu飙高到100%----中了挖矿程序
Qfoom的博客
11-25 1433
感谢:简书SilentBillows 一 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlibrary /]# top top - 10:56:10 up 15 min, 1 user, load average: 7.28, 7.24, 4.90 Tasks: 209 total, 5 running, 204 sleeping, 0 stopped, 0 zombie %Cpu(s): 96.5 us, 3.5 sy, 0.0 ni, 0.0 i
客户的Linux服务器中了挖矿木马攻击 CPU瞬间达到%100
weixin_33736832的博客
05-31 502
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客户服务器卡的...
【操作系统----Linux】服务器被挖矿的解决方式
Sunny
12-02 1186
方式一、安装杀毒软件查杀 开源的clamav 方式二、删除源文件 通过top命令查看进程,会发现有一个进程耗费cpu全部的性能 简单的kill是没用的,因为有定时任务还会继续执行 尝试看定时任务 crontab -l 如果发现异常,可以直接看执行的文件位置,删除后kill即可,如果没有发现,那么执行 vim /etc/crontab 删除可疑的定时任务,根据执行的文件路径...
服务器中了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法
qq_38398347的博客
02-09 3028
通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 中执行,然后会删除 c3pool 目录。我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件。通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决此病毒的方法。所以,我们将病毒进程杀掉后,再将定时任务删除就行了。打开 cron 目录中的文件后,发现了一条定时任务。
linux++挖矿模式,一个Linux挖矿的简单处理
weixin_42538645的博客
05-15 1318
由于平时很少接触linux的病毒现场,特意找到了一个之前处理过的现场进行复现,算是对linux命令的掌握以及对linux病毒的了解执行挖矿病毒使用top命令,站cpu占用率 可以看到PID为28842的进程占用已经为97.3%然后使用netstat -antp看网络查看网络连接 经过搜索,这两个ip都为矿池ip,到这就可以判断这是一个挖矿病毒了cd /proc/28842进入进程号目录ls -al...
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3608
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1351
Linux处理挖矿病毒。
linux 被入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. 停止挖矿进程:查找并停止正在运行的挖矿进程。可以使用命令 `ps aux | grep miner` 或 `top` 来查找并终止挖矿相关的进程。如果您知道具体的挖矿进程名称,也可以直接使用 `kill` 命令来终止进程。 3. 清理恶意软件:查找并删除与挖矿相关的恶意软件。您可以使用命令 `find / -name <file_name>` 来查找文件名包含指定字符的文件,然后手动删除这些文件。 4. 更新和修补系统:确保您的 Linux 系统和相关软件都是最新版本,并应用安全补丁。这有助于修复已知的安全漏洞,减少入侵的风险。 5. 检查系统日志:检查系统日志文件,查找与入侵和挖矿相关的异常行为。常见的日志文件包括 /var/log/auth.log、/var/log/syslog 等。分析这些日志可以帮助您了解入侵的来源和方式。 6. 强化安全措施:采取额外的安全措施来保护您的系统,如使用强密码、启用防火墙、限制远程访问、使用安全软件等。确保您的系统和应用程序都有合适的安全配置。 7. 进行系统扫描和恢复:可以使用安全软件或工具对系统进行全面扫描,以查找和清除潜在的恶意文件和后门。还可以恢复受影响的文件和配置,以确保系统正常运行。 请注意,上述措施可能需要一定的专业知识和技术能力。如果您对此不太熟悉,建议寻求专业人士的帮助,如网络安全专家或系统管理员。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值