记一次ecs 被入侵 挖矿程序

最新推荐文章于 2024-06-24 16:24:24 发布
最新推荐文章于 2024-06-24 16:24:24 发布
阅读量422 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lengjianan2006/article/details/103497607
版权

[root@iZ2ze8kdbvbbegz7lbre1eZ ~]# top
top - 18:33:22 up 33 days,  4:12,  1 user,  load average: 4.25, 3.92, 3.73
Tasks:  84 total,   2 running,  81 sleeping,   1 stopped,   0 zombie
%Cpu(s): 99.8 us,  0.2 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  3733768 total,   133472 free,  2687508 used,   912788 buff/cache
KiB Swap:        0 total,        0 free,        0 used.   603496 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                               
   21 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 writeback                                                                                             
   29 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 watchdogd                                                                                             
   12 root      rt   0       0      0      0 S   0.0  0.0   0:03.80 watchdog/1                                                                                            
   11 root      rt   0       0      0      0 S   0.0  0.0   0:05.67 watchdog/0                                                                                            
  847 root      20   0  573924  16032   2928 S   0.0  0.4   3:05.39 tuned                                                                                                 
  307 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 ttm_swap                                                                                              
 7504 root      20   0  161880   2260   1632 T   0.0  0.1   0:00.08 top                                                                                                   
 7561 root      20   0  161880   2212   1584 R   0.0  0.1   0:00.03 top                                                                                                   
  415 root      20   0   44476   1508    944 S   0.0  0.0   0:00.07 systemd-udevd                                                                                         
  510 root      20   0   26612   1904   1372 S   0.0  0.1   0:52.71 systemd-logind                                                                                        
  396 root      20   0   47276  11960  11640 S   0.0  0.3   1:09.33 systemd-journal                                                                                       
    1 root      20   0   43532   3272   2036 S   0.0  0.1   1:45.88 systemd                                                                                               
10882 root      20   0  180732    976    372 S   0.0  0.0   0:00.21 svnserve                                                                                              
 1090 root      20   0  112868   4344   3320 S   0.0  0.1   0:02.04 sshd                                                                                                  
 7485 root      20   0  157264   5904   4548 S   0.0  0.2   0:00.04 sshd                                                                                                  
 7573 root      20   0  157396   5644   4184 S   1.0  0.2   0:00.06 sshd                                                                                                  
 7574 sshd      20   0  112868   2472   1360 S   0.0  0.1   0:00.00 sshd                                                                                                  
24513 root      20   0  309684   6448   1608 S 197.7  0.2  48409:22 ssh-daemon                                                                                            
  283 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 scsi_tmf_1                                                                                            
  270 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 scsi_tmf_0                                                                                            
  272 root      20   0       0      0      0 S   0.0  0.0   0:00.00 scsi_eh_1                                                                                             
  268 root      20   0       0      0      0 S   0.0  0.0   0:00.00 scsi_eh_0                                                                                             
  848 root      20   0  406952  15576   9556 S   0.0  0.4   1:27.12 rsyslogd                                                                                              
    9 root      20   0       0      0      0 R   0.0  0.0   1:31.08 rcu_sched                                                                                             
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                                                                                                
  508 polkitd   20   0  612296  10752   2284 S   0.0  0.3   0:59.01 polkitd                                                                                               
[2]+  Stopped                 top -o COMMAND
[root@iZ2ze8kdbvbbegz7lbre1eZ ~]# cd /proc/24513
[root@iZ2ze8kdbvbbegz7lbre1eZ 24513]# ll
total 0
dr-xr-xr-x 2 root root 0 Dec 11 18:33 attr
-rw-r--r-- 1 root root 0 Dec 11 18:33 autogroup
-r-------- 1 root root 0 Dec 11 18:33 auxv
-r--r--r-- 1 root root 0 Dec 11 18:33 cgroup
--w------- 1 root root 0 Dec 11 18:33 clear_refs
-r--r--r-- 1 root root 0 Nov 24 07:52 cmdline
-rw-r--r-- 1 root root 0 Dec 11 18:33 comm
-rw-r--r-- 1 root root 0 Dec 11 18:33 coredump_filter
-r--r--r-- 1 root root 0 Dec 11 18:33 cpuset
lrwxrwxrwx 1 root root 0 Dec 11 18:33 cwd -> /
-r-------- 1 root root 0 Nov 28 18:18 environ
lrwxrwxrwx 1 root root 0 Nov 24 07:52 exe -> /opt/nu/ssh-daemon
dr-x------ 2 root root 0 Nov 24 07:52 fd
dr-x------ 2 root root 0 Dec 11 18:33 fdinfo
-rw-r--r-- 1 root root 0 Dec 11 18:33 gid_map
-r-------- 1 root root 0 Dec 11 18:33 io
-r--r--r-- 1 root root 0 Dec 11 18:33 limits
-rw-r--r-- 1 root root 0 Dec 11 18:33 loginuid
dr-x------ 2 root root 0 Dec 11 18:33 map_files
-r--r--r-- 1 root root 0 Dec 11 18:33 maps
-rw------- 1 root root 0 Dec 11 18:33 mem
-r--r--r-- 1 root root 0 Dec 11 18:33 mountinfo
-r--r--r-- 1 root root 0 Dec 11 18:33 mounts
-r-------- 1 root root 0 Dec 11 18:33 mountstats
dr-xr-xr-x 5 root root 0 Dec 11 18:33 net
dr-x--x--x 2 root root 0 Dec 11 18:33 ns
-r--r--r-- 1 root root 0 Dec 11 18:33 numa_maps
-rw-r--r-- 1 root root 0 Dec 11 18:33 oom_adj
-r--r--r-- 1 root root 0 Dec 11 18:33 oom_score
-rw-r--r-- 1 root root 0 Dec 11 18:33 oom_score_adj
-r--r--r-- 1 root root 0 Dec 11 18:33 pagemap
-r-------- 1 root root 0 Dec 11 18:33 patch_state
-r--r--r-- 1 root root 0 Dec 11 18:33 personality
-rw-r--r-- 1 root root 0 Dec 11 18:33 projid_map
lrwxrwxrwx 1 root root 0 Dec 11 18:33 root -> /
-rw-r--r-- 1 root root 0 Dec 11 18:33 sched
-r--r--r-- 1 root root 0 Dec 11 18:33 schedstat
-r--r--r-- 1 root root 0 Dec 11 18:33 sessionid
-rw-r--r-- 1 root root 0 Dec 11 18:33 setgroups
-r--r--r-- 1 root root 0 Dec 11 18:33 smaps
-r--r--r-- 1 root root 0 Dec 11 18:33 stack
-r--r--r-- 1 root root 0 Nov 24 07:52 stat
-r--r--r-- 1 root root 0 Nov 28 18:18 statm
-r--r--r-- 1 root root 0 Nov 24 18:08 status
-r--r--r-- 1 root root 0 Dec 11 18:33 syscall
dr-xr-xr-x 9 root root 0 Dec 11 18:33 task
-r--r--r-- 1 root root 0 Dec 11 18:33 timers
-rw-r--r-- 1 root root 0 Dec 11 18:33 uid_map
-r--r--r-- 1 root root 0 Dec 11 18:33 wchan
[root@iZ2ze8kdbvbbegz7lbre1eZ 24513]# cd /opt/nu/ssh-daemon
-bash: cd: /opt/nu/ssh-daemon: Not a directory
[root@iZ2ze8kdbvbbegz7lbre1eZ 24513]# cd /opt/nu/ssh-daemon/
-bash: cd: /opt/nu/ssh-daemon/: Not a directory
[root@iZ2ze8kdbvbbegz7lbre1eZ 24513]# cd /opt
[root@iZ2ze8kdbvbbegz7lbre1eZ opt]# ls
nginx-0.12  nu  renice-0.13.1.zip
[root@iZ2ze8kdbvbbegz7lbre1eZ opt]# cd nu
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# ls
config.json  log  service  ssh-daemon
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# pkill 24513
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# rm -rf ssh-daemon 
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# crontab -l
* * * * * /bin/sh -c "pidof ssh-daemon || nohup /opt/nu/ssh-daemon &> /opt/nu/log &"
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# crontab -r
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# ls
config.json  log  service
[root@iZ2ze8kdbvbbegz7lbre1eZ nu]# 

lengjianan2006
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 625
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..
解决阿里云服务器被植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 4055
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单录了处理服务器挖矿的流程,录的不全面,欢迎各路大神探讨交流。
处理阿里云服务器中的恶意挖矿程序
最新发布
weixin_43268590的博客
06-24 510
恶意挖矿程序会在未经用户许可的情况下在用户的设备上运行,占用大量计算资源进行挖矿,这可能会导致设备性能下降、温度升高、甚至硬件损伤。因此,用户应当做到以下措施来尽可能地预防挖矿: 及时更新系统和应用程序的安全补丁; 安装安全软件; 加强用户权限管理; 提升防火墙的安全级别,关闭不需要的服务端口; 监控服务器日志等。
阿里云服务器被挖矿的解决方法
qq_47464056的博客
07-25 4922
云服务器被入侵植入挖矿程序
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3756
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云被恶意挖矿的处理方法
qq_55809729的博客
10-03 938
亲测:阿里云被恶意挖矿的处理方法
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1239
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
服务器被植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9006
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
一次阿里云被挖矿处理
热门推荐
x1172031988的专栏
07-08 4万+
一次阿里云被挖矿的处理过程
录解决阿里云ES服务器提示挖矿程序
张先生
12-11 4736
前言 突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前得备份下 处理过程 1、检查服务器负载与CPU利用率,确定挖矿程序进程 执行命令: top , 如图: 发现有一个 network01的东西占用cup达到了87%,但我在服务器器根目录下的 tmp 下并没有看到这玩意 由上确定了PID进程号,查看进行所在的目录。执行命令, 并没有明确的位置,可以看到可执行文件链接 ll /proc/进程ID 然
阿里云ECS挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
NicolasLearner的博客
07-22 4361
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 373576 2720 404 S 99.9 0.1 1252:00 java
挖矿程序入侵解决方案
super的博客
11-28 4287
本人自己购买了一台阿里云服务器来玩,晚上收到被挖矿程序入侵,处理过程大概是这样的使用top命令查看看那些进程是陌生的并且占用大量cpu,因为是挖矿机肯定会占用很多cpu,先不要着急kill掉,因为一般都会重启启动的,我用history(也可以查看~/.bash_history文件)查看历史命令发现如下内容(我手敲的代码,可能有个别手误,网页端不能copy),这个是入侵系统的脚本,从中可以看出些端...
一次Linux挖矿程序解决经历
一半的博客
09-04 3767
注意:线上当时没截图,以下截图均为解决问题后截取的。 使用top命令可看到CPU使用180%~200%。 $ top 使用free -m 查看内存使用情况,此时内存并没多少占用。 $ free -m 系统符合被挖矿特征,同时阿里云控制台也检测到疑似被挖矿程序入侵。 首先通过top命令可以查看到进程的pid: 可以通过ls -l /proc/xxx/exe命令查找到进程对应资源的位置,xxx表示进程的pid。 # xxx为pid $ ls -l /proc/xxx/exe 查找到文件位置之后,就
解决阿里云Ecs提示有挖矿程序
小薯条的博客
07-22 3903
背景 自己买了一台阿里云的Ecs学生机用来玩玩,已经好久没有管了,最近每天凌成三点阿里云发短信提示出现紧急安全事件:挖矿程序,建议紧急处理。实在受不了了,登录阿里云查看了一下监控,所有指标正常,网上所说的肉机特征完全没有出现,但是短信天天提醒,MD只能继续处理一下 症状 先top free df看一下,老铁没毛病啊,然后还是发现了一些异常文件,当时没有截图,导致大家看不了,于是赶紧一顿rm * -...
SSH远程调用服务器Daemon进程不立即返回的情况
David Yin
10-25 733
jboss给的脚本有错,真Bug。 他脚本输出重定向写的是:xxx 2>&1 >xxx.log &,正好把语法参数写反了,应该 是: xxx >xxx.log 2>&1 & ,导致命令的标准输出和错误输出没有写到日志文件 中,仍然返回给了SSH客户端,这样SSH就只能等服务器的命令执行完了才结束。 可以试下 ssh 10....
阿里云服务器中挖矿木马处理过程
小灵通的专栏
01-18 1万+
在阿里云租用一台服务器,最近发现被异地登陆,紧接着出现异常下载。登陆服务器,发现CPU达100%,并且安骑士提示有挖矿进程。因为对linux系统不是很熟悉,故而边找资料边处理实验,最后录下来以便日后处理备查。首先登陆服务器,使用top命令查看进程:CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,首先比较直观的是imWBR1这个进程,查找它
一次阿里云ECS服务器图片资源迁移至 阿里云 oss
05-27
好的,您可以先登录阿里云ECS服务器,然后安装OSS工具包,可以使用以下命令: ``` sudo apt-get update sudo apt-get install ossfs ``` 接下来,您需要在阿里云OSS中创建一个Bucket,并且获取您的Access Key ID和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值