linux的Systemctl挖矿病毒清扫

已于 2023-04-27 11:19:12 修改
阅读量3.7k 收藏
点赞数 2
分类专栏: 人工智能 文章标签: linux ssh 运维
于 2021-09-10 21:29:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37922496/article/details/120229602
版权

问题描述

服务器被感染了病毒,伪装成合法进程使用浪费cpu算力
在服务器中目前发现机器下面有两种可能存在的进程
一种是top种存在进程
69259 huawei 20 0 2420084 315660 2532 S 1199 1.0 135726:38 syst3md
另一种是存在进程
13614 huawei 20 0 7210224 4.586g 7896 S 2794 1.8 303625:06 cnrig

如图所示
服务中存在进程占满12核的CPU,显示的进程名称是 system3d ,而且用户还伪装成huawei,确实是被骗了一段时间
请添加图片描述
根据进程排查周有可能存在的问题进程是由这个目录挂起的任务
请添加图片描述请添加图片描述
同时在 systemctl list-units --all --type=service 查看可以看到有些异常的服务,我这里有服务名为 user@1000.service 比较异常 是负责在system任务被杀的时候恢复进程的服务,所以关键的是要杀死守护进程

清理步骤

本次恶意的代码入侵者,都使用了一个伪装为 huawei 的账户启动挖矿的代码
在 /home/目录下有一个 huawei的家目录 所以执行如下步骤清楚账户

rm -rf /var/tmp #清楚安装的源码目录1
rm -rf /home/huawei #清楚安装的源码目录2

systemctl list-units --all --type=service| grep user #查看 存在名为用户1000 的 任务
systemctl stop user@1000.service # 有的时候不是 1000 是其他的编号

top | grep huawei #参看那个伪装成 huawei的进程编号
kill -9 对应进程

userdel huawei #删除对应的进程,删除对应的阻碍的进程

免密权限加固

rm -f /root/.ssh/* #清空所有密钥
touch /root/.ssh/known_hosts #允许登陆信任的文件存在
chattr +i /root/.ssh #关闭 .ssh 目录中添加密钥对的修改权限

其他废话

现在还没有能力定位IP,但是从中间文件中有发现部分邮箱地址。应该是挖矿所得的币最后发送的地址,后面的 donate.v2.xmrig.com 等信息查到应该是一个使用cpu挖门罗币的软件,很可能是通过免密入侵了后架设了代理。
请添加图片描述

【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 2097
病毒来源安装脚本旷池提供的卸载脚本。
新型带式输送机清扫器的设计与使用
06-29
【新型带式输送机清扫器的设计与使用】 在煤炭开采中,带式输送机是不可或缺的运输设备,广泛应用于选煤厂、主运输系统以及巷道掘进等环节。然而,输送带在长时间运行后,易出现磨损和粘煤现象,这不仅增加了清理...
Linux - 服务器.Xr1挖矿病毒解决记录
LeyiChen_X的博客
08-13 1215
2. 问题定位1. 发现问题开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程2. 问题定位2.1 通过top命令查看, 发现 xr文件, CPU占用过高, 服务器运行时间长了, 会出现很多xr的进程 (这里只有两个是因为刚重启过)2.2 进入进程文件夹, 查看进程文件信息, 才发现是根目录下的 .XL1的隐藏文件2.3进入/.Xr1文件夹可以看到有一个执行文件和一个配置文件2.4查看配置信息可以看到里面有。
恶意域名疯狂外联,原因竟然是
最新发布
qq_25467441的博客
09-04 721
一看域名地址donate.v2.xmrig.com,xmrig这不门罗币的矿池地址吗,看来是个挖矿事件,从DTA上的告警时间和告警事件来看,确实是个挖矿事件。
Linux下清除挖矿病毒
QZ9420的博客
03-07 1065
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
linux删除挖矿病毒
weixin_39202006的博客
04-29 1082
通过top查看cpu占用细节,找到占用超过90%以上的服务,就是病毒程序了。 比如sysupdate服务超过90% ps -ef | grep sysupdate kill pid杀掉进程 首先linux用户比如root或者其他创建的密码要复杂。 然后,一般病毒文件会放在tmp文件夹下,因为tmp的权限一般会是777,所以要tmp权限设置为744或者其他。 用root用户删除tmp文...
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 2461
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux服务器中了挖矿病毒,成功清理
编程还未
04-13 3067
Linux服务器中了挖矿病毒,成功清理
基于Linux的液晶显示屏驱动设计.pdf
09-06
前者是模块的初始化函数,它为模块调用做好准备工作,而后者是在模块即将卸载时被调用,做一些清扫工作。驱动程序模块通过函数int register—chrdev(unsigned int major,const char* name,struct file—...
煤矿带式输送机风动清扫器的应用与分析
07-03
指出了常用清扫器存在的弊病,传统清扫器由输送带或聚氨酯材料制成,通过清扫器与输送带之间施加的正压力,形成接触和摩擦,清除输送带表面粘附的煤泥。煤粒等物料对输送带、滚筒、托辊及清扫器本身会产生一定的磨损,...
linux服务自动启动
08-16
linux服务自动启动
一种冲压模具用的快速清扫装置共10页.pdf.zip
11-01
很抱歉,根据您提供的信息,标题和描述提及的是一个关于“冲压模具用的快速清扫装置”的技术文档,而标签中的信息可能是不完整的,只显示了“一种冲压模具用的快速清扫装置共1”。然而,压缩包内的文件名称“赚钱...
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 1226
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux运维之解决服务器挖矿木马问题
上善若泪
01-25 1937
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
清理服务器挖矿木马病毒
FOREVERHOPE_WBZ的专栏
08-28 330
Linux系统中,root用户是具有最高权限的超级管理员账号。如果忘记了root用户的密码或需要更改密码,可以通过以下方法来修改或重置root密码。1.重置root密码重置root密码需要使用root用户或者有sudo权限的用户执行以下步骤:1.1 在系统启动过程中,按下任意键以进入grub菜单。1.2 选中要使用的内核版本,按下e 键进入编辑模式。1.3 找到以"linux16"或"linuxefi"开头的行,将其末尾的 "ro" 更改为 "rw init=/sysroot/bin/sh"
syst3md 挖矿病毒处理记录
架构师的成长之路的博客
02-10 982
转载syst3md 挖矿病毒处理记录_zhangjianming2018的博客-CSDN博客 这两天发现服务器上部署的应用系统 体验较差,访问响应慢 不太对劲。部分接口响应达到了 4秒。正好空闲上服务器上检查一下性能。 [root@localhost ~]# mpstat -P ALL 10 Linux 3.10.0-957.el7.x86_64 (localhost.localdomain) 2022年01月28日 _x86_64_ (20 CPU) 16时27分10秒 ...
如何清除3d病毒
nohairmonk的博客
07-08 364
3d设计行业,需要从很多的模型网站下载模型使用,但是现在很多的3d模型打开后,会造成各种各样的中毒症状,一般这样是感染了3d病毒导致,例如会造成场景卡死,复制缓慢,莫名其妙的闪退等诸多问题,那碰到这种情况,怎么样能快速解决或清除3d病毒呢?作为专业的行业软件,清除3d病毒则需要专业的杀毒软件。下面我们以3d病毒清除软件Max杀毒卫士为例实现快速清除3d病毒官网最新版本下载:Max杀毒卫士下载 先下载然后安装好Max杀毒卫士 打开3d模型场景 点查杀病毒如果发现病毒,清除病毒即可 清除完成后,再次检测一下
named服务异常日志带出来的挖矿病毒
u010101453的博客
05-24 681
关键字: client donate.v2.xmrig.com query cache denied。ssh到203节点后,cat /etc/resolv.conf,通过其配置也能证明这一点。知道PID后,就可以定位病毒位置了。一般这种病毒,都会有定时任务,可以再查一下定时任务。根据日志可知,是客户端20.20.20.203,一直在向该节点解析域名。这样通过ps看到的进程名就是bash。
清扫机器人自动充电算法与硬件设计
本文介绍了清扫机器人自主充电系统的设计,包括充电站的硬件电路构建和自主充电算法的创新。充电站的硬件部分包含电源电路、可调节充电电流的电池恒流充电电路以及定位编码信号发射电路。此外,提出了一种基于随机...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值