centos dbused挖矿病毒清理

最新推荐文章于 2024-10-01 21:42:12 发布
最新推荐文章于 2024-10-01 21:42:12 发布
阅读量1.8k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyc_219/article/details/119142713
版权

清理bash_profile

1、打开终端,清理到用户下bash_profile文件,默认在/home/${name}/的隐藏文件内容中记录

cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null

删除crontab下任务

#查看是否包含cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c  >/dev/null 2>&1 && rm -rf -- /bin/dbused 2>/dev/null
crontab -l
#进入目录
cd /var/spool/cron/
#查看该目录下文件中是否存在包含dbuse内容
vim root

查询启动脚本的任务

find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null |grep cron

执行上述命令会出现类似于如下命令

/etc/cron/weekly/pwnring:2:cp -f -r --/bin/crondr /bin/dbuse 2>/dev/null
/etc/cron/weekly/pwnring:4:./dbused -c >/dev/null 2>&1

删除文件命令

#如果文件删除不掉的话,提示权限问题,则查看文件属性
#lsattr 文件名 显示---i-a -------/etc/cron/weekly/pwnring
#使用命令删除属性 chattr -i -a 文件名 之后就可以删除了
chattr -i -a /etc/cron/weekly/pwnring
#使用rm -rf 文件名即可
rm -rf /etc/cron/weekly/pwnring

依次查看rc.d init.d 系统服务

#查看系统服务   #执行删除文件命令
find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep rc

find /etc/ -name '*' | xargs grep 'xms' -n 2>/dev/null | grep init.d

find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep init.d

find /etc/ -name '*' | xargs grep 'dbuse' -n 2>/dev/null | grep systemd

相关文件统统删掉
进入到定时任务的文件夹/var/spool/cron/ 发现有个root的定时任务,删掉!
之后删除以下文件,如果存在的话
删除以下文件

/bin/bprofr

/bin/sysdr

/bin/crondr

/bin/initdr

/usr/bin/bprofr

/usr/bin/sysdr

/usr/bin/crondr

/usr/bin/initdr

/tmp/dbused

/tmp/dbusex

/tmp/xms

/tmp/x86_64

/tmp/i686

/tmp/go

/tmp/x64b

/tmp/x32b
小灬新
关注
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 979
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
记一次centos挖矿病毒处理经过
a345203172的专栏
10-08 1732
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
Linux挖矿病毒事件应急响应演练(dbused木马)
Li-D的博客
11-17 7471
环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.168.130.138) 攻击阶段 (1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口; (2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root (3)在攻击机上准备挖矿病毒 (4)接下来进行攻击入侵,等待脚本运行 应急响应 检测阶段 (1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率 (2)查看是否存
Debian 中招挖矿病毒发现及清理记录,唉~
最新发布
边学边用
10-01 476
2.安装 net-tools 工具包,使用 netstat-antlp | grep -e bash -e rsync 可以看到 -bash 有网络通讯,查了一下对面地址是外国的,XXX 的。4.清理完成,此时再观察一会儿发现挖矿的 -bash 再没有重新启动,CPU 和 内存 占用恢复正常,此时就可以删掉挖矿程序与计划任务了。,因为另外两个带有 pts/0 和 pts/1 说明这两个是我正常连接的 ssh 端的正常 -bash ,这两个要是干掉,那连接也就断了。3.干掉 -bash 的进程,
dbused挖矿病毒清理过程
老司机开新车的博客
04-12 5174
表现 过了个周末,一觉醒来,服务器上部署的程序无法访问了,想ssh进入shell查看,shell也连接不上,去云服务器提供商后台查看监控曲线,发现cpu使用率一直在100%,在后台页面重启实例,进入shell进行恢复。 处理 使用top 命令查看CPU使用率,发现dbused进程高居榜首,就是它,干它! 驻留项 添加4个驻留项如下: (1)bash启动项 ~/.bash_profile 在打开终端时将会执行该挖矿木马,注意需要到对应用户目录下清理bash_profile cp -f -r -- /bin/b
记一次解决dbused挖矿病毒
qielanyu_的博客
10-10 1160
参考文章: 解决挖矿病毒导致的cpu100%_Newbie_J的博客-CSDN博客 dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程_gitTung的博客-CSDN博客_dbused 一次挖矿病毒的处理过程复盘-简易百科 引言:直接影响,导致confluence无法使用。top时发现跟confluence账号相关,于是从这个方面着手,开始解决问题 1.进入 /var/spool/cron/ ,发现存在confluence5的一个定时任务,其内容如下: * * * *
dbused StartMiner最新变种 cpu爆满 挖矿病毒 redis漏洞手动查杀流程
arr的博客
09-02 1433
上图是特征 如果是生产服务器建议还是直接重新装一台快一点 这个病毒很恶心,到处都有他的定时器,到处都有他的执行指令.好在他自己的名字是固定的,不然真的很难定位 ps -aux
记录一次centos挖矿病毒感染的经历
热门推荐
fengwuxichen的博客
04-26 1万+
公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。感染原因应该是redis没有设置密码导致的。记录一下临时处理记录。 安装busybox 由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。...
dbused 挖矿病毒清理
记昨日书的博客
09-26 776
问题描述 系统:centos 7 现象:服务器CPU一直100%,top 命令发现 dbused 占用,kill 掉后自启CPU依然100% 1. 临时降低CPU使用率 while true; do ps -aux | egrep "dbused|sendmail|wget|python" | awk '{print $2}' | xargs kill; done 2. 关闭定时任务自启 systemctl disable crond 3. 清理环境变量(.bash_profile) chattr -i
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7956
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 973
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
linux挖矿病毒清理
yb890102的博客
01-05 1544
网络安全,挖矿病毒清流,linux中毒
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1774
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
清理kdevtmpfsi、dbused挖矿木马程序
qq_42672132的博客
08-24 752
一、出现的问题 今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满。 搜了一下,都是挖矿程序。 二、解决思路 网上很多的方法都试了,但是挖矿进程还是不断重启。像 1、关闭守护进程(后面没有守护进城了,木马进程还是会重启) 2、删除/tmp/下相关的文件(看名字,和木马进程差不多) 3、删除crontab内容(会被植入定时程序,我关闭了crontab,但是木马程序依旧重启) 4、修改木马文件权限(会换个名字继续来,原
清除Linux centOS7挖矿病毒
李嘉图呀李嘉图的博客
05-18 816
由于最近准备面试,所以想要在买的阿里云服务器上部署下自己的项目,发布项目到服务器上之后项目一直崩溃,一看top,有一个exin的进程占了99% 未明确该应用如何被安装到了服务器上,可能是因为docker下载其他镜像文件时,病毒被一并安装。 先杀进程(kill该进程之后i一小时之后进程会重新打开,光杀进程不够) kill -9 26136 找到运行的进程,确定进程位置为 /bin/exin $ ps -a |grep 进程号 删除程序,直接删除不成功,必须先执行 chattr -ia
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-21 6003
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
Ryan2k的博客
02-26 9018
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbused的进程占满了! reboot重启服务器之后,以root身份登录服务器,发现cpu是正常的。使用top命令查看,dbused并没有运行,但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户,该用户的命令却时不时运行,这让我感到很奇怪。 此时登录tung用户后,dbused便立
linux服务器中了挖矿病毒kworkers的修复经过
elvismelody的博客
08-15 4938
服务器出现访问异常,cpu爆红,网络请求连接超级慢。通过top命令查询,看到异常程序kworkers、dbus。百度下,是7月份新出现的病毒。 看了下原理,清理步骤如下: 一、删除程序目录 病毒启动脚本loader.sh通过系统漏洞,把病毒程序下载到tomcat目录下的bin目录的git文件夹里,把git文件夹删除。 二、删除cron任务 在/etc/crontab,把异常的cron任务删除掉 三、删除隐藏进程脚本 病毒启动挖矿进程时自动载入链接库实现进程隐藏,该链接库叫libc2.28.so
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值