记一次真实liunx挖矿病毒处理

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量533 收藏
点赞数
文章标签: 安全 linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63028223/article/details/129240489
版权
文章描述了一次应对CPU满载,发现系统被植入挖矿病毒的应急处理过程,包括检查后门用户、清理动态链接库、找出并杀死挖矿进程、删除计划任务、停用异常服务,以及强调了SSH弱口令的安全风险,提醒使用强口令并定期修改。
摘要由CSDN通过智能技术生成

在一个周末的晚上,收到了群里一个学弟的消息:

话不多说开始应急:

发现新增用户包括计划任务,包括使用率为百分百的cpu,可以确定是被入侵且植入了挖矿病毒。

后门用户:

计划任务:

top查看进程信息,但是发现占用率都不高呀,但是cpu总体确实是爆满了。

立即想到隐藏了进程。

挖矿修改了centos 的动态链接库配置文件ld.so.preload内容并引用了/usr/local/lib/中的多个文件

先清理动态链接库

cp /etc/ld.so.preload /etc/ld.so.preload.bak

vi /etc/ld.so.preload #删除相关内容

接着使用top命令查看

找到了挖矿进程

赶紧杀死吧,卡死了-.-

杀死挖矿程序后立马cpu占用率就下来了。

crontab -e //查看计划任务

根据计划任务找到后门文件

查看服务 chkconfig --list

找到异常服务文件:

继续排查,查看服务内容

根据服务找到挖矿病毒文件位置: /usr/bin/player

备份删除挖矿文件。

# 停止服务

systemctl stop myservice.service

# 停止开机启动

systemctl disable myservice.service

# 删除服务文件

rm –rf myservice.service

收工····································

总结一下:

ssh弱口令一定要严加防范,使用强口令,定期修改。

一个番茄锅
关注
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔068
添柴程序猿的专栏
12-11 598
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 685
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
一次清理挖矿病毒
lixiao0320的专栏
05-13 964
一、前言 这是我第二次遇到这种病毒,第一次是两年前,当时因为公司的一台服务器映射到外网访问,而且还是弱口令,导致整个公司的服务器,全染上了????。。。当时经验缺乏,第一次遇到这种病毒,手足无措,在没有办法的情况下,重新装了一台服务器,后来发现还有好多台,重装效率太低,然后自掏腰包????????(当时主要怕老板骂)找了个运维帮搞定了,然后涨了点知识。。。 这次是之前的同事在他现在公司遇到的问题,搞了好多天无果,找我帮忙看看,由于最近也比较忙,耽误了几天(2021-5-11)才帮他解决(
一次感染挖矿病毒的经历
weixin_33804990的博客
02-21 2541
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 621
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5072
linux挖矿病毒已解决
linux解决挖矿病毒
qianjiu520的博客
05-30 807
linux解决挖矿病毒
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1828
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
一次liunx服务器被入侵和删除木马程序的经历
热门推荐
liushangzaibeijing的博客
05-15 5万+
一、背景 之前在腾讯云买了一台云服务器用来自己玩玩,同时也顺手编写了一个程序发布到该服务器上了,之后由于工作的繁忙,无暇顾及该服务的运行状态,最近突然发现原来的程序无法使用显示 无数据显示,登录服务器突然发现服务器特别的卡。 查看程序运行日志发现数据库密码被修改 无法登录,使用top查看进行发现有个程序占用cpu达到91.5%太可怕了,这里不得不吐槽一下腾讯云 挺坑的被当成一...
计划任务linux每天执行一次,linux 每天执行任务计划
weixin_35299004的博客
05-16 7937
本文介绍在Linux下的两种定时执行任务的方法:at命令,以及crontab服务。(1)at命令假如我们只是想要让特定任务运行一次,那么,这时候就要用到at监控程序了。设置at命令很简单,指示定运行的时间,那么就会在哪个时候运行。at类似打印 进程,会把任务放到/var/spool/at目录中,到指定时间运行它 。at命令相当于另一个shell,运行at time命令时,它发送一个个命令,可以输入...
一次挖矿病毒应急处置全过程&挖矿处置基本操作
心想事成
12-20 1304
每次挖矿的情况都不太一样,只能做一个参考。具体还需自行检查
linux系统中挖矿病毒
杭州吉网-运维日记
01-13 680
原创作者:运维工程师 谢晋 linux系统中挖矿病毒错误信息解决问题 错误信息 客户这边说某台虚拟机CPU突然暴增,用完了整个宿主机CPU资源 可以看到CPU使用确实很高 登录系统查看CPU使用情况 使用top查看CPU使用情况 # top 可以看到kdevtmpfsi进程,该进程明显是挖矿病毒进程 解决问题 如果直接kill掉kdevtmpfsi程序后续还会反复运行,所以要一次停掉他相关进程 打印出所有进程 # ps aux 可以看到kdevtmpfsi进程和他的守护进程kinsi
安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 1873
病毒来源安装脚本旷池提供的卸载脚本。
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1449
Linux处理挖矿病毒
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7054
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3805
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux服务器被植入挖矿病毒后初步解决方案
qq_24274689的博客
07-22 3761
linux服务器被植入挖矿病毒后初步解决方案
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
liunx系统C++获取文件的最后一次修改时间
05-31
Linux 系统中,可以使用 `stat` 函数获取文件的属性信息,包括最后一次修改时间。以下是一个获取文件最后一次修改时间的示例代码: ```c++ #include #include #include int main() { struct stat fileInfo;...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值