记录阿里云服务器被minerd和kworkerds感染作祟,

最新推荐文章于 2023-07-13 15:01:50 发布
最新推荐文章于 2023-07-13 15:01:50 发布
阅读量7.7k 收藏 7
点赞数 1
分类专栏: 阿里云 文章标签: minerd 记录阿里云服务器被minerd和kworkerds感染作祟 CPU CPU爆满
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lang363/article/details/82354830
版权
博主在阿里云服务器遭受minerd和kworkerds恶意软件的攻击,导致CPU使用率极高。通过一系列排查和清理操作,包括删除临时文件、定时任务、系统库文件以及清除日志,最终解决了问题。同时提醒要定期修改密码以防止类似事件再次发生。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2018-09-01周五 阿里云云盾通知 检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理)

1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟,

 

2、果断ps -ef | grep ‘minerd’ 查看pid,

3、使用kill -9  程序的pid 杀死掉,

4、到 cd  /tmp/下查看是否存有临时文件,如果有rm -rf 删除,没有就算了

5、crontab -l 查看是否有定时,有的话到cd /etc/crontab  查看是否有陌生的定时任务,如果有也是直接删除,

6、然后top 再查看,成功了,然后查阅了资料,说redis 漏洞,果断修改了ssh密码,修改redis的端口,修改了登录数据库密码,一切看起来就是这么简单

最低0.47元/天 解锁文章
minerd肉鸡木马排查思路
银时经验积累
07-29 582
Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径 执行ll /proc/PID/exe,其中PID/exe,其中PID/exe,其中PID为查询到的进程ID 异常程序在/opt目录下 此程序一
kprobe分析内核kworker占用CPU 100%问题总结
dangran8888的博客
03-15 1万+
kprobe分析内核kworker占用CPU 100%问题总结 Create by Billow.Jen,2020.3.8 前言 [引用]有的工程师在线上出问题的时候,非常慌乱,会去胡乱猜测可能的原因,但又缺乏任何证据去支持或者否证他的猜测与假设。他甚至会在线上反复地试错,反复地折腾,搞得一团乱麻,毫无头绪,让自己身边的同事都很痛苦,白白浪费了宝贵的排错时间。 但是当我们有了动态追踪技术之后,排...
minerd
weixin_30852451的博客
01-20 114
今天top服务器,发现minerd占用很高cpu,百度发现此进程是用来挖掘莱特币,清除过程查看: http://www.tuicool.com/articles/FVZfuy ...
minerd解决随记
Show something
09-28 384
万恶的minerd挖矿木马,手段很高明,彻底根治比较难,先写个定时脚本压制下。核心命令ps -ef|grep "./minerd"|awk '{print $2}'|xargs kill修改定时任务# Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # |
minerd.exe 处理
weixin_30457551的博客
02-13 615
:top TASKKILL /F /IM "minerd.exe" Goto top and then searching the file system for minerd.exe. Next, search Windows Registry for any reference to minerd.exe or the file location of that executable. C...
Linux主机肉鸡木马minerd导致CPU跑满
chepei9387的博客
06-22 199
摘要:Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 Linux主机肉鸡木马minerd...
Linux kworker 占用CPU过高
热门推荐
智慧雨泽的博客
04-17 96万+
先打开HTOP htop 如何按H K(大写) 我们看到Kworker/0:0+events,下面参考下人家的回答 什么是kworker?kworker表示进行“工作”(处理系统调用)的Linux内核进程。在进程列表中可以有多个:kworker/0:1在第一个CPU内核上kworker/1:1是一个,在第二个CPU内核上是一个,依此类推。 为什么kworker占用您的CPU?...
linux内核线程kworker ksoftirqd占用cpu
最新发布
sikoutang的博客
07-13 91万+
centos 7.2 内核占用cpu高异常, 定位过程如下:打开内核calltrace跟踪:dmesg显示如下USB suspend/resume调用:解决办法:内核cpu降下来了:参考连接:
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 8224
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
Linux系统卸载USB存储设备失败导致kworker进程CPU占用异常问题的解决办法
AsWeDo的博客
03-01 1万+
该方法同样适用于: 1. 强制卸载无法卸载的USB设备,比如:解决因为在传输数据未完成时直接拔下存储设备导致的后台D进程驻留(无法被kill); 2. 系统更新固件可能导致(只遇到过一次)的USB存储设备无法被识别(重启系统同样可以解决); 3. 不重启系统,只重启xhci控制器。
Trojan专杀工具,用着真不错.
03-19
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
Linux中断管理 (3)workqueue工作队列
有趣的人生 一半是山川湖海 一半是初心情怀
06-25 1912
关键词: 工作队列的原理是把work(需要推迟执行的函数)交由一个内核线程来执行,它总是在进程上下文中执行。 工作队列的优点是利用进程上下文来执行中断下半部操作,因此工作队列允许重新调度睡眠,是异步执行的进程上下文,它还能解决软中断tasklet执行时间过长导致系统实时性下降等问题。 当驱动程序或者内核子系统在进程上下文中有异步执行的工作任务时,可以使用work item来描述工作...
Linux下杀死进程(kill)的N种方法
Kitty_Landon的专栏
02-17 1072
装载网友此篇文章,也作为自己的学习笔记,谢谢。 常规方法 1、首先,用ps查看进程,命令为:adb shell ps
Android 功耗(12)---如何查找待机唤醒源
zhangbijun1230的专栏
07-14 7257
如何查找待机唤醒源系统场景的唤醒源:EINT/CONN/CLDMAEINT:PMIC的唤醒.a.Powerkey唤醒后面的log会有pwrkey_int_handlerb. rtc alarm唤醒后面的log会有alarm time is up<2>[ 1145.475797]<3>-(0)[4497:kworker/u8:10][SPM] wake up by EINT,...
kworker是什么,又什么用
lyblyblyblin的博客
02-22 6万+
名字的意思 什么时候有的 这么看 系统中查看 显示的内容怎么看 有什么用 参考名字的意思Kernel Worker什么时候有的kworker是3.x内核引入的这么看系统中查看Linux下使用 ps -ef|grep kowrker显示的内容怎么看显示的格式kworker/%u:%d%su:是unbound的缩写,代表没有绑定特定的CPU,kworker /u2:0中的 2 是 work_pool 的
一个感染性木马病毒分析(三)--文件的修复
Fly20141201. 的专栏
08-12 5001
一、 序言 前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。   二、文件感染方式的分析 之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件
导致大量kworker的原因_氨氮超标的几种原因及解决办法
weixin_31090403的博客
01-05 581
一、有机物导致的氨氮超标 CN 比小于 3 的高氨氮污水,因脱氮工艺要求 CN 比在 4~6,所以需要投加碳源来提高反硝化的完全性。当时投加的碳源是甲醇,因为某些原因甲醇储罐出口阀门脱落,大量甲醇进入 A 池,导致曝气池泡沫很多,出水 COD,氨氮飙升,系统崩溃。分析:大量碳源进入 A 池,反硝化利用不了,进入曝气池,因为底物充足,异养菌有氧代谢,大量消耗氧气微量元素,因为硝化细菌是自养菌,代谢...
关于查杀木马
prahs的专栏
05-11 1212
背景今天在yuange的微博中看到一些关于查杀木马的技巧,原文“这些都是些实战经验,还有dlllist过滤0x10000000地址查木马,vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的,而绝大多数木马开发者不懂这些,简单工具就过滤90%以上木马。再配合我的独门绝技打开Dnsrslvr.log记录DNS,基本上简单的手工就可以查出起码95%以上木马。”其中提
解决能上QQ不能上网及网络故障排查指南
面对“能上QQ不能上网”或“能上网不能上QQ”的问题,可以依次从病毒排查、代理服务器设置检查DNS服务器问题修复这三个角度出发,尝试解决。通常情况下,通过这些基本步骤,大多数问题都能得到解决。如果以上方法...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值