linux系统中挖矿病毒

最新推荐文章于 2024-07-12 16:34:36 发布
最新推荐文章于 2024-07-12 16:34:36 发布
阅读量653 收藏 4
点赞数
分类专栏: Linux运维 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzgnet2021/article/details/122474224
版权

原创作者:运维工程师 谢晋

linux系统中挖矿病毒

错误信息

  1. 客户这边说某台虚拟机CPU突然暴增,用完了整个宿主机CPU资源
    可以看到CPU使用确实很高
    在这里插入图片描述
  2. 登录系统查看CPU使用情况
    使用top查看CPU使用情况
# top

可以看到kdevtmpfsi进程,该进程明显是挖矿病毒进程
在这里插入图片描述

解决问题

  1. 如果直接kill掉kdevtmpfsi程序后续还会反复运行,所以要一次停掉他相关进程
  2. 打印出所有进程
# ps aux

可以看到kdevtmpfsi进程和他的守护进程kinsing
在这里插入图片描述

  1. kill两个挖矿进程
# kill -9 27978
# kill -9 28424
  1. 再次查看是否还有挖矿进程
# ps aux

在这里插入图片描述

# top

在这里插入图片描述
已无可以进程

  1. 查找挖矿病毒文件
# find / -name kdevtmpfs
/var/www/html/tmp/normal_2019/kdevtmpfs
# find / -name kinsing
/var/www/html/tmp/normal_2019/kinsing

进入该目录查看文件

# cd /var/www/html/tmp/normal_2019/
# ls

在这里插入图片描述
可以看到两个挖矿病毒文件

  1. 删除文件
# rm -rf kinsing
# rm -rf kdevtmpfs
# ls

在这里插入图片描述
病毒文件删除完成

  1. 检查计划任务是否有异常
# crontab -l 查看定时任务
# crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

我的系统下没有异常定时任务,如果有需删除定时任务

杭州吉网运维日记
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux病毒分析
清扬叶
04-01 1514
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux病毒。 处理问题: 使用top查询到networkservice和...
Linux病毒清理流程
热门推荐
ouxx2009的专栏
03-14 1万+
Linux病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
查杀我这辈子有幸遇到的第一个Linux病毒 (by quqi99)
技术并艺术着
08-17 1992
作者:张华 发表于:2021-08-17 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 问题 本人有一个腾讯虚机,昨天忽然ssh不上去了,控制台重启之后就又上去了,所以也就过去了。 可是今天又遇到了同样情况,不能总重启啊,得好好研究一下怎么回事了。 关闭云镜 使用top命令看到有个叫什么YunJing的进程,搜索一番后通过下列命令删除。 sudo /usr/local/qcloud/stargate/admin/uninstall.sh sudo /usr/loca
【服务器管理】Ubuntu的一次惊心动魄的查杀病毒的经历:病毒伪装成python
陈艺荣
01-15 9689
本文讲解了笔者在2022年1月份进行病毒杀毒的完整过程!
linux病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 2857
linux了伪装成python的病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录了病毒的原理和查杀记录
linux病毒详细解决方案
wu_qing_song的博客
10-27 4962
linux病毒已解决
Linux处置病毒样本演示
qq_39330735的博客
03-29 1360
Linux处理病毒
Linux系统清剿病毒.pdf
09-06
Linux系统,尽管其安全性相对较高,但并非完全不受病毒威胁。病毒是无平台界限的,针对Linux的恶意软件确实存在,且可能对系统造成严重影响。为了应对这些威胁,Linux用户同样需要采取防范措施,其包括使用...
Linux系统管理基本命令和英语词汇
05-25
Linux系统管理,掌握基本的命令行操作是至关重要的,因为这构成了Linux日常运维的基础。这个技术文档可能包含了Linux环境最常用的命令及其相关的英语词汇,这对于初学者和专业人士都是宝贵的资源。以下是一些...
Linux系统基于系统调用序列的病毒检测方法研究.pdf
09-07
Linux 系统调用与病毒检测】 在Linux操作系统系统调用是用户空间程序与内核交互的重要方式,用于实现诸如文件操作、网络通信、进程管理等基本功能。由于病毒和恶意软件通常会利用这些系统调用来执行破坏性的...
Linux系统病毒防治详解.pdf
09-06
Linux系统病毒防治详解.pdf
linux检测脚本
07-25
执行自动检测
一起linux虚机感染病毒对外恶意传播的处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-04 1170
问题描述 虚机因对外恶意发包,被云服务提供商封堵22端口,导致无法ssh;通过修改ssh端口号,登录后top发现,有2个占用cpu 99%的同名进程在运行,叫gpg-agentd; 影响范围:一台linux虚机 问题分析及过程: 通过google搜索发现,GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。但是我们发现的异常进程是gpg-agentd,多了一个字母d,属于伪装程序。 根据gpg-agentd的进程pid:23374,通过ps命令查看进程启动路径、通过n
linux服务器被植入病毒后初步解决方案
qq_24274689的博客
07-22 3697
linux服务器被植入病毒后初步解决方案
linux解决病毒
qianjiu520的博客
05-30 758
linux解决病毒
高级运维开发工程师带你处理linux木马(病毒)实战例子
nasen512的博客
07-10 2463
高级运维开发工程师带你处理linux木马(病毒)实战例子。
Linux病毒清理通用思路
dayouzi的博客
04-19 3659
在被植入病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
记录linux一次病毒木马的简单应急处置
it知识分享 free for nothing..
09-08 482
记录linux一次病毒木马的应急处置
Linux C | 管道open打开方式
最新发布
I_feige的博客
07-12 355
1.
linux病毒排查
12-07
Linux系统病毒的排查可以通过以下步骤进行: 1.使用top命令查看系统资源占用情况,如果发现CPU、内存、网络等资源占用率异常高,可能存在病毒。 2.使用netstat命令查看网络连接情况,如果发现大量连接到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值