无意间发现我的一台云服用器中了矿机xmrig的毒,续!!

最新推荐文章于 2024-04-16 23:40:46 发布
最新推荐文章于 2024-04-16 23:40:46 发布
阅读量1.3w 收藏 11
点赞数 8
分类专栏: linux 文章标签: xmrig
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin_mails/article/details/91799070
版权

接上 无意间发现我的一台云服用器中了矿机xmrig的毒,哎!!

上次没根除接着来!

看一下是不是设置了定时任务:这里要注意一下,我一开始 crontab的时候没有指定用户(我是用ubuntu用户登陆的),没有看到这个任务,以为没有问题,不指定用户列出的是当前用户的任务,编辑也是同样如此.

果然,去下载了一脚本执行!

打开看看

就是你了! 这段脚本也比较简单好理解大概意思:清清本地的病毒,再从远程下载下来执行

查一下185.10.68.115 

一家冰岛的服务器提供商!

原来18年就有人中招了

我也再提交一下吧,哈哈!!

还有些中国的服务器,不是知道是真的自己在干坏事,还是躺枪,哎。。。

 

看到一个电信的,蜜罐? 

扯的有点远了,回正是接着说.

接下来就是消灭病毒了:

先把定时任务删除,这个是它“起死回生”的根基!

删除后保存文件,

服务重启 Service crond  restart

清了病毒文件:

杀了进程:

 sudo kill -9 28749

完工! 看明天还能不能再跑起来,哈哈!!

 

补充:接下 无意间发现我的一台云服用器中了矿机xmrig的毒,再续!!

kevin_mails
关注
  • 8
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
最新挖xmrig清除方法和原理
m0_73140589的博客
03-21 2766
端接收短信提醒,服务正遭受挖攻击,服务的cpu和内存占用高,阿里不断告警
阿里服务招挖XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里的项目经理给我打电话问我的服务是否没有使用计划,确实自从上次后就没再使用。今天登录阿里服务 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
记一次排查xmirg挖程序_xmirg 关闭(1),2024年最新2024年最新大厂网络安全面试笔试题目
最新发布
2401_83739777的博客
04-16 442
因为前两天刚刷抖音刷到了服务感染了挖程序导致服务cpu被占满了导致服务运行速度非常满,因此我也查看了当前服务的cpu运行情况,不看不知道,一看吓一跳。根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径。
服务CPU一直高占用,病排查,服务被黑,服务,挖xmrig排查及解决
zhazha0807的博客
03-04 5055
收到阿里发来的通知“【挖处置通知】请尽快整改服务挖活动”,"经检测您的阿里服务上存在疑似挖活动……";盖帽的话不说了,直接上排查思路及解决方法; 1、先用top命令查看一下服务资源情况,发现一个进程一直持cpu:200%;记录下pid。然后先skill 掉试试,cpu恢复正常后,马上又启动了新进程; 2、然后推测是有定时任务或者某些制进行触发的启动,先检测一下定时任务: 这里注意使用:crontab -l 查询到无定时任务,然后由于进程的User是 git ,然后换成: cro
阿里服务xmrig
qq_35692783的博客
09-27 1308
今天访问服务的时候,命令输入很慢,于是输入top查看进程运行情况,发现有个名叫xmrig的进程占用CPU占90+%以上。 百度查了一下发现是挖的,应该是上次安装redis后没设置访问密码的原因。 先是尝试用 kill -9 进程ID 杀掉,结果又有新的xmrig产生了,于是就查看这个进程的执行文件在哪里,然后把这个目录下的文件全都删掉。 /proc/进程ID/exe rm -rf /root/.c3pool 输入top之后发现还存在,再次尝试kill,成功杀死并且没有新的进程产生了。 网上说可能
无意间发现我的一台服用xmrig,哎!!
热门推荐
kevin的博客
06-11 3万+
自己平时用来做测试的一台,所以也没做什么防护,今天上去无意见看到有一个xmrig进程cpu 99%, Xmrig是啥? 原来是,还用的root干的,我花的银子买的,天天给人挖, 好不爽啊!!! 看一下在哪里 /proc/27336/exe 都跑一个月了。。。。 kill -9 27336 先灭了再说! 吓得我赶紧修改root密码 还没...
记录ECS Linux系统出现xmrig程序
Any1992的博客
12-28 1735
记录ECS Linux系统出现xmrig程序 最近收到阿里检测服务出现了紧急安全事件:挖程序,炸一看,额...... ,吓了一跳,这是哪里冒出来的,结果看到如下图所示,开始进行了排查。 原因分析: minerd 挖程序一般存在于/tmp/目录下 可通过以下方式进行排查是否存在相关进程: 在服务上执命令:top 上图,可以看到占用大量CPU资源是minerd。 在服务上执行:ps 排查相关占用CUP资源最多的程序。 处理方式 使用命令 :kill -9
matlab.zip_Mine!_matlab露天_vehicle_露天
09-23
描述的“‘露天生产的车辆安排’的模型和评述 ‘Model and review of vehicle arrangement’ open pit mine production”表明,此压缩包可能包含一个MATLAB模型,该模型设计用于规划和评估露天作业车辆的...
XJM-KS 型浮选负压产生理研究-论文
07-08
浮选是用于浮选浆预处理的重要设备,其性能的优劣直接影响到浮选的工作效果。文章通过流体力学仿真软件FLUENT对XJM-KS型浮选的内部流场进行数值仿真,重点研究了聚焦式喷嘴布置所带来的流场特征...
四台空压变频节能集控系统的改造与应用
05-28
四台对空压进行变频节能集控系统改造,实现了井供用气的动态平衡和整个系统的节能控制、远程起停、故障报警、数据采集与存储等功能。
记一次 Linux 被入侵,服务变“”全过程.docx
12-25
记一次 Linux 被入侵,服务变“”全过程
libuv-v1.42.0windows64位vs2015/2017项目
10-06
这是libuv1.42的windows64位vs2015/2017的项目,可以编译哦
linux服务自动启动
08-16
linux服务自动启动
八驱转矩平衡变频在露天带式输送的应用
06-14
以平朔东露天排岩主运带式输送为例,介绍了一种利用变频、PLC及Profibus总线技术对长距离、多驱动、大功率带式输送转矩平衡控制的应用策略,并重点对带式输送的驱动布置、控制系统分层网络结构、变频的...
服务集体事件 xmrig trace 挖
枫小秋 的博客
01-05 6712
事件简述: 2019年12月22日,我们服务的一个客户服务大面积提示被用于“挖”,随即我们便进行了病的清理,但病的来源通过我们原有实施的监控和安全检测并未能发现。事前我们在服务的远程登录上限制了只允许VPN+堡垒登录,对服务的各方面性能、所有人员的风险操作以及可能通过web渗透的异常登录和执行行为均有监控和告警,但这次在服务监控和安全监控我们却未找到任何端倪。 发生这次事件...
网络安全-挖XMrig miner
L120305q的博客
04-05 764
XMrig miner
菜鸟的linux服务第一次木马入侵处理记录(名为xmrigMiner的木马)
weixin_48713918的博客
04-01 2143
遇到木马入侵linux自查自删过程。 查了一下后台,是这个样子 显示的是cpu与内存占用极高,不停有写入操作大写的懵逼,第一反应是先关 但是没屁用,cpu与内存占用居高不下 我处理的主要过程如下 kill进程没用,还会重新启动。查了半天资料,说是让我看看启用命令 卧槽,真的有 大概是我用的redis安装包有问题赶快启用删除全部定时任务命令 再次查询,就查不到这个定时任务了但是占用率还是居高不下,kill不掉用top命令查看进程状况 就是这个流氓程序,一直占着, 用kill命令,后面的2988
xmrig解决
yuguang的博客
11-20 1万+
1、问题排查显示 1.1服务情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...
《应急响应》记一次“XMR门罗币挖木马病”处置
1
11-03 2069
故事的起因于26号下午做渗透测试时,登录跳板发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
用VS编写一个超级工的展示台脚本
04-26
好的,我可以为您提供一些参考。 首先,我需要了解您要展示的内容是什么,以便更好地为您提供帮助。请告诉我您要在展示台上展示什么。 如果您已经有了展示内容,那么可以按照以下步骤编写超级工的展示台脚本: 1. 打开 Visual Studio,创建一个新的 C# 项目。 2. 在项目添加一个新的窗体,在窗体上放置您要展示的内容。 3. 在代码添加适当的事件处理程序,例如在窗体加载时自动播放展示内容,在用户单击按钮时播放特定的内容等。 4. 如果您需要与其他应用程序交互,比如获取数据并将其显示在展示台上,可以使用相关的类库和 API。 5. 最后,将项目编译为可执行文件,部署到您需要展示的设备上即可。 希望这些步骤对您有所帮助。如果您有其他问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值