我的阿里云有个进程是exin

最新推荐文章于 2023-07-10 00:53:35 发布
最新推荐文章于 2023-07-10 00:53:35 发布
阅读量704 收藏
点赞数 2
分类专栏: linux 文章标签: mxin 挖矿 我很烦
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lys1695227550/article/details/104144058
版权

很久没登上去看看,发现我的阿里云实例出现了一个cpu占据很高的进程,名称叫做exin,我就知道估计又是一个挖矿啥的,百度了确实了该进程后,我开始尝试解决它

发现:

查看位置

找到位置了,看到执行文件了

将发现的进程号通过kill杀死,再删除文件,但是没用,想都不用想,绝对有定时,绝对死灰复燃

先将系统的定时任务找一找,瞧一瞧,网上找个命令

根据提示,我看看这个位置是啥

大概意思就是说我的root用户有定时,定时任务是启动了一个叫做agetty东西,然后启动的过程日志都丢给linux特殊设备空洞(黑洞)中,也就是找不到日志。

我先把rm -rf定时任务文件给删了

再看看这个文件又是做啥的,

初步看下来就是最后执行我发现的毒瘤exin进程的最后执行文件,这个东西是后台启动使用哦nohub挂起执行的,而且同样不给任何日志信息,再次我真的醉了。

估计没有这么简单,抱着怀疑的太多多了解下定时任务,发现系统定时还没看,刚只是root用户的定时。

我尝试看看

发现这东西已经不新鲜了,在百度上一搜索发现这个也有其他网友被搞过,也自行有一定的方案解决,我看了下我先download看看这东西是干嘛的

有了解过爬虫、linux、网络的都知道,大概就是:定时执行这个脚本,这个脚本做这么一件事:通过经常名称查看这个进程是否在执行,如果没有在执行,我先去http://eknr73utr7u7bzwo.onion.ly/wp-content/ekK9k9Yhtp8Bsul2EmftImLTq1t078ZiP36WCco

这不懂为啥意思,也先不管了,将这个/etc/crontab这个文件内容清了,查不到意思的下方这个定时也清了

暂时把我所找到的所有和exin进程定时相关的文件给修改了或者删除了,进程也杀了,暂时没看到哈问题,先不管了。

总结问题:

说到底就是入侵自己,给种了个进程执行,然后启动各式各样定时来保证你这东西不容易被删除,死灰复燃。每次都是在某个网址能够请求最新的程序脚本。

所到底还是自己的机器主要是学习机器,没有啥东西,端口关闭的不够严格,如果是云服务器的防火墙和安全组应用好来,问题是不大的,但是自己也懒得折腾了.

十来分钟后,检查了自己的博客应用及设计的一些服务软件都重启正常后,就告一段落了。

我真的很烦,这些搞矿的,不道德。我也没见得这个东西到底能带来啥收益,导致要遍地撒网,搞得我这低配机器都要防止工具,记得上次更惨还有守护进程啥的,我也是醉了。

且行且珍惜啊!

cherish_lailai
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 挖矿病毒 /bin/exin
Billy的专栏
02-07 970
系统 腾讯云主机 Ubuntu 18.04 问题 云主机速度特慢,发现CPU占用99%top 解决方法 top命令执行后,查看占用cpu为99%的进程IDps -a |grep 进程号 确认进程的位置为 /bin/exin 删除程序,直接删除不成功,必须先执行 chattr -ia exinchattr -ia exin rm -rf exin 其他问题 原因:未明确该应用如...
EXIN进程挖矿病毒清理
lc453580816的博客
11-21 1019
EXIN进程挖矿病毒清理事出有因彻底清理后感 事出有因 近期突然发现服务器应用经常DOWN,重启防火墙重启程序有一段时间正常 然后查看系统top进程,发现有/bin/exin进程疯狂占用cpu 查看iptables防火墙信息,发现防火墙被串改增加了很多未知地址的访问。 查看crontab 发现无数定时 查看这个定时,发现这个果然跟这个进程有关系 发现了就清理就是,把这些脚本全部清空,把c...
自定义Hook-useSearchParam
臧小川的博客
02-20 420
/** * 跟踪浏览器的位置搜索参数。 * @param {string} useSearchParam 传递参数 search 名称 * @return {string} useSearchParam 相应 search 值 */
阿里云笔试题整理
hubiao1999的博客
05-18 1486
昨天参加了阿里云的笔试,笔试是单独给我发了一个链接,不像是统一的笔试,两个小时做两个题也是我没有想到的,最后还是没有做完。所以就想着来整理以下这两个题目,下面就开始了。
阿里云ECS vpc网络与办公网内网互通
第九系艾文
08-22 5749
阿里云ECS vpc网络搭建openvpn 与办公网内网互通
阿里云paas的介绍,很有价值
10-30
阿里云PaaS(Platform as a Service)平台是一个全面的云端开发和运行环境,它为开发者提供了构建、部署和管理应用程序所需的基础设施和中间件服务。在技术日新月异的今天,PaaS已经成为企业数字化转型的重要工具,...
阿里云短信云平台发送短信
04-25
阿里云短信服务提供了多种发送方式,包括 API 接口、SDK 等。其中,API 接口是最常用的方式之一,它可以通过 HTTP/HTTPS 协议进行调用,使用简单、灵活。开发者只需要通过阿里云的控制台获取 AccessKey 和 SecretKey...
阿里云产品图标 icon
05-10
这些图标在亿图图示(Edmax)软件中被创建,提供了原图版本以及橙色主题的变体,总数超过200个,涵盖了阿里云的多元化服务范围。 首先,让我们来了解一下亿图图示(Edmax)。这是一款专业且功能强大的矢量图形设计...
esp32通过mqtt协议连接阿里云
最新发布
09-23
在这个过程中,ESP32首先需要连接到WiFi网络,然后通过MQTT(Message Queuing Telemetry Transport)协议与阿里云的IoT Hub建立安全可靠的通信连接。 **ESP32S3简介** ESP32-S3是Espressif Systems推出的一款低功耗...
苍穹外卖阿里云oss存储笔记
08-23
阿里云对象存储(OSS,全称Object Storage Service)是阿里云提供的高可用、高可靠、低成本、大规模的云存储服务。它适用于各种场景,包括但不限于网站托管、大数据分析、媒体存储与分发、文件备份等。在"苍穹外卖...
关于阿里云OSS上传图片之后会被旋转90度的解决办法
dgqvhtlwq472235338的博客
05-28 686
原文:https://www.cnblogs.com/wuhjbk/p/10133596.html 问题描述:正常的图片前端上传到oss成功之后的资源地址。在html上引用的时候被旋转了90度oss资源地址直接在浏览器打开就不会旋转问题原因:某些手机拍摄出来的照片可能带有旋转参数(存放在照片exif信息里面)。而oss资源上传之后会默认自适应方向所以在img标签中图片就被旋转了9...
阿里云RPA+python】阿里云RPA中如何调用远程接口(本质是用python获取配置文件)
xiaoyi1212的博客
06-07 1765
RPA的底层其实Python语言,所以这次要解决的问题是如何用Python去获取运程接口,以及如何在RPA中用组件来操作。
阿里巴巴云如何利用大数据进行业务增长和优化
禅与计算机程序设计艺术
07-10 1607
作者:禅与计算机程序设计艺术 《2. 阿里巴巴云如何利用大数据进行业务增长和优化》 2.1 引言 随着互联网的高速发展,企业和组织需要面对越来越多的数据和信息。数据不仅带来了机遇,也带来了巨大的挑战。为了应对这些挑战,阿
集成阿里云视频播放器
小鬼的博客
01-03 4911
集成阿里云视频播放器
使用阿里云存储图片
pjh88的博客
08-22 7819
1.准备 为什么使用云存储的方式 什么是OSS对象存储服务 阿里云对象存储OSS(Object Storage Service)是阿里云提供的海量、安全、低成本、高持久的云存储服务。其数据设计持久性不低于99.9999999999%(12个9),服务可用性(或业务连续性)不低于99.995%。 OSS具有与平台无关的RESTful API接口,您可以在任何应用、任何时间、任何地点存储和访问任意类型的数据。 您可以使用阿里云提供的API、SDK接口或者OSS迁移工具轻松地将海量数据移入或移出阿里云OSS。数
解决阿里云服务器提示挖矿程序风险
TianmingQi94的博客
01-19 4006
最近阿里云天天提示我挖矿,可是我是良民啊,还要封我号,把我吓够呛啊。 后台通过CPU 被挖矿,Redis 竟是内鬼!_CSDN云计算-CSDN博客这篇文章有所启发,大家可以看下 目前没提示,后期再提示再更新 个人原因是 阿里云服务器安装了一个redis,redis没有配置登录密码导致的 因为没有配置登录密码,所以他通过公共key进行了远程攻击 解决的操作步骤是 1.[root@qtm ~]# cd .ssh/ 查看是否有共钥,如果有的话,进行删除操作,我这边删除不了,需要进行授权,然后删除 .
阿里云中docker容器agetty进程占用cpu过高问题解决方案
qq_34412985的博客
11-23 660
1、查到agetty进程是哪一个容器的 命令 docker ps -q | xargs docker inspect --format ‘{{.State.Pid}}, {{.Name}}’ | grep $(ps -ef|grep |grep -v grep |awk ‘{print $3}’) 1 例子: 例如top查看到的agetty进程PID是41888,则将换成41888 命令为: docker ps -q | xargs docker inspect --format ‘{{.State.P
阿里云默认操作系统被安装软件
ak47mig的网志(自家用,谢绝无聊斗鸡)
11-22 2056
操作系统是阿里云提供的centos71.aliyun-service是阿里云KVM 平台ECS虚拟机配置进程,是qemu的一个开源模块,主要负责KVM上面的虚拟机的初始化功能;2.Aegis包括 AliYunDun 和AliYunDunUpdate 两个进程,主要负责安全防御和安骑士升级更新。3未发现的gshelld是ECS上XEN自有的一个开源程序,主要负责XEN上面虚拟机的初始化、管控等功能
怎么kill掉阿里云的异常进程
05-27
如果你在阿里云中发现了异常进程,你可以使用以下命令来杀死进程: 1. 首先,使用 `ps` 命令查找进程的 PID: ``` ps -ef | grep 进程名 ``` 这个命令会返回一个包含进程信息的列表,其中包括每个进程的 PID...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值