linux 服务器CPU被挖矿的一个解决方法

最新推荐文章于 2024-05-01 15:13:50 发布
最新推荐文章于 2024-05-01 15:13:50 发布
阅读量2k 收藏
点赞数 1
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51789083/article/details/123956073
版权

发现

敲代码的时候阿里云来了个电话,说你的服务器疑似挖矿,还发了个邮件,邮件
人直接懵了,就去阿里云看看,一看cpu直接一直100%,
在这里插入图片描述
开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键)

还发了安全警告
在这里插入图片描述

解决过程

上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除挖矿病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪个进程占了很多CPU资源,结果top工具直接卡的完全没发交互,而且上面显示的都很正常……然后下了个htop查看,不过这个工具能查出总cpu使用率是100%,但查不出哪个进程占了那么多。
好在不断在网上搜,搜到了解决方法:

  • 使用netstat -anp |grep ESTAB查出一个ip对应的进程被隐藏了,而这个ip地址是在荷兰的,就引起了注意

  • 下载unhide工具,使用他找出隐藏的进程
    在这里插入图片描述

  • 查出来一群名字是[kswapd0],上网搜kswapd0,发现是管理虚拟内存的,这就让人很无奈了,好在坚持去看文件所在目录,发现这个文件最后修改时间和cpu暴涨的时间对应上了

  • 然后查看了里面一个json文件的内容,发现里面有个url对应的数据是发出安全警告中的那个url,这下就确定这些文件是挖矿的了在这里插入图片描述

  • 关闭进程,删除文件就OK了(只关闭进程立马会重新运行……得删掉文件)

帅帅付
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Unhide-开源
06-03
Unhide 是一种取证工具,用于查找被 rootkit/LKM 或其他隐藏技术隐藏的进程和 TCP/UDP 端口。 注 1:Unhide-linux repo 已迁移到 https://github.com/YJesus/Unhide 请在新的 repo 上报告错误或提出请求。 注 2:不再维护 unhide-windows。 使用 Gmer 等工具 http://www.gmer.net/
Linux服务器无法登陆问题的解决方法
09-15
下面小编就为大家带来一篇Linux服务器无法登陆问题的解决方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
记一次linux排查挖矿病毒
qq_44803385的博客
03-20 122
所以先把他杀死试试, 发现根本没用,这个就和牛皮糖一样粘在了电脑上面,那么现在猜测应该就是上面的定时任务搞的鬼。由于服务器又被挖矿病毒染上了,所以被学校封禁了ip,老是这样也不是办法,所以自行解决一下。首先利用 crontab -l 查看一下有啥定时任务,这一步并没有发现异常。然后进入/etc/cron.d 目录进行查看,此时发现了异常。这个fold一看就很可以,包括后面的cat tr 也很奇怪。然后使用 top命令查看一下运行内存占用情况。这玩意一看就是挖矿病毒来的(以前找过一些)
Ubuntu 12.04 安全策略
光明矢的专栏
07-01 2935
1.防病毒软件ClamAV 2.安全检查工具 3.防火墙 4.安装服务管理工具 5.安全设置 6.网络安全 7.隐私保护 8.蜜罐 9.物理隔离
十大web安全扫描工具
weixin_30493321的博客
08-27 577
01 – Unhide Unhide一个查寻隐藏了进程和端口的Rootkits/LKMs或其它隐藏技术的探测鉴定工具。Unhide可以运行于linux/Unix和windows系统。 链接: http://www.unhide-forensics.info 评论: “非常完整好用的工具.轻松找到隐藏文件和端口等” “linux 系统里找容易程序的工具,怒赞!” “基于un...
如何在 Linux/Unix/Windows 中发现隐藏的进程和端口
01-31 1435
英文:Vivek Gite,翻译:Linux中国/fan Lilinux.cn/article-9288-1.htmlunhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:Unhide 通过下述三项技术来发现隐藏的
Linux服务器挖矿解决办法
qq_40939094的博客
01-08 2592
记录一次Linux服务器挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
Linux 遭入侵,挖矿进程被隐藏排查记录
weixin_30664539的博客
03-15 1542
今天来给大家分享下这两天遇到的一个问题,服务器挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。 问题原因 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 登陆问题主机10.92.0.X,通过执行top命令查看资源使用情况如下 cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进...
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒
Senoh的博客
09-30 3184
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
挖矿记录+解决方案:利用GitLab组件对服务器进行挖矿导致CPU占用200%
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
07-13 1521
服务器挖矿是指利用云服务器从事赚取比特币的活动。比特币是一种虚拟数字货币,挖矿是将一段时间内比特币系统中发生的交易进行确认,并记录在区块链上形成新区块的过程。用于挖矿的计算机一般有专业的挖矿芯片,多采用安装大量显卡的方式工作,耗电量较大。计算机下载挖矿软件,然后运行特定算法,与远方服务器通讯后可得到相应比特币。说白了,就是利用你的服务器硬件资源为他本人干一些。
linux服务器被植入挖矿程序一些处理
weixin_43570089的博客
09-27 1086
环境:服务器在dmz区,安装有weblogic11,jdk1.6,1.7,1.8,还有redis 推测:redis安装为免密登录,这个漏洞造成中毒(不确定) 1、开发人员发现cpu使用率99%+(有时超过100%哦) 2、发现异常proecho占用近乎全部cpu资源。kill proecho,一会就重新启动 3、查看proecho发现在工作目录和/tmp目录下有疑似文件,删除。 查看定时任务,清除...
Linux 服务器中提高CPU使用率脚本
08-11
每天18点启动一次,执行/etc/press/press_v3.1.sh文件,"-c=31":设置cpu使用率为31-36之间,“-t=86400”:执行86400秒=24小时 echo '30 15 * * * /bin/bash /etc/press/press_v3.1.sh -c=31 -t=86400' >> /etc/...
Linux系统中CPU占用率较高问题排查思路与解决方法
01-10
作为 Linux 运维工程师,在日常工作中我们会遇到 Linux服务器上出现CPU负载达到100%居高不下的情况,如果CPU 持续跑高,则会影响业务系统的正常运行,带来企业损失。 很多运维的同学遇到这种状况往往会不知所措,...
linux服务器找到占用cpu高的java代码的办法
06-10
linux服务器找到占用cpu高的java代码的办法
Linux服务器被黑解决方法.pdf
09-06
Linux服务器被黑解决方法.pdf
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 994
Linux 基本指令
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 288
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
获取Java 虚拟机进程ID(java应用进程Id的方法Linux & windows
weixin_44131922的博客
04-30 411
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Linux 第十八章
最新发布
一怀明月的博客
05-01 1231
程序地址空间 区间的地址分布 真正理解同一个地址进行读取不同内容 地址空间 虚拟地址和物理地址 虚拟地址: 物理地址: struct mm_struct 页表
linux 被入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值