挖矿病毒处理 uugifz\ \(deleted\) ruckusapd uugifz zerocert uagjfk firstpress

最新推荐文章于 2024-09-14 16:13:49 发布
最新推荐文章于 2024-09-14 16:13:49 发布
阅读量1k 收藏
点赞数 1
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mango0512/article/details/106143541
版权

记录一次挖矿病毒处理

挖矿病毒特征:占用cpu,ecs的cpu异常飑起

变种:uugifz\ (deleted) ruckusapd uugifz zerocert uagjfk firstpress

处理过程:
1、top查看占用cpu进程,记录pid

top

2、systemctl status pid,获取进程执行文件,

systemctl status 26389

在这里插入图片描述

3、对应删除红框标注文件路径,

4、创建同名同路径文件和+i权限

touch /tmp/zerocert && chattr +i /tmp/zerocert 

touch /usr/local/bin/uagjfk && chattr +i /usr/local/bin/uagjfk

touch /tmp/zerocert && chattr +i /tmp/zerocert

5、杀掉相应pid

kill -9 PID

kill -9 10373 14435  26389```

6、top观测,是否还有变异体产生,再次操作 2-6,直至top观察正常
抱个芒果
关注
MyBatis中的Mapper文件配置——编写mybatis mapper.xml文件
程序员光剑
07-29 4827
MyBatis 是一款优秀的持久层框架,它可以使得使用 SQL 和 HQL 来操作数据库变得很简单, MyBatis 将原生的jdbc API隐藏在接口中,使开发人员更关注业务逻辑,从而方便地实现数据持久化操作。MyBatis 中最重要的组件之一就是 MyBatis 的 Mapper XML 配置文件。Mapper XML 配置文件用来描述 MyBatis 映射器接口及其对应的 SQL、SQL语句的参数类型、返回值类型等信息。
弹性计算中的云计算中的物联网和边缘计算
程序员光剑
07-19 4246
作者:禅与计算机程序设计艺术 “弹性计算”作为云计算领域的一个分支,其主要目的是解决云计算资源的弹性扩展、高可用、可伸缩性等方面的问题。其核心技术包括虚拟机(VM)、容器(Container)、自动化、弹性调度等。在最近几年,随着物联网和边缘计算的兴起,弹性计算也逐渐进入到云计算中来。本文将从云计算和物联网/边缘计算两个角度详细介绍弹性计
ruckusapd / pnhmaf / firstpress / zerocert挖矿病毒处理方法
story-xu的博客
05-14 2227
ruckusapd / pnhmaf / firstpress / zerocert病毒处理方法 病毒名称: ruckusapd / pnhmaf / firstpress / zerocert 现象: CPU占用100%,进程杀掉之后,会重新启动,而且在不杀掉进程的情况下删除执行文件, 病毒会以其他执行文件运行,起到一个变种的效果 截图如下: 病毒形式1: 病毒形式2: 处理方式: 与以往病毒不一样的是,此病毒没有通过定时任务,或者在启动项中添加文件,而是在/run/systemd 目录下,随机启动,
阿里云Centos7挖矿程序根除分析
tangbin0505的博客
12-08 1576
1、top查看,找占CPU高的进程,看cpu占用率 2、使用命令ps -aux --sort=-pcpu|head -10查找,果然找到了这个程序带有Ssl 记下pid  3、进去6646目录     cd /proc/6646(木马pid) ) 4、用ll命令查看  [root@izwz9hcixm5361yy4uz40az 6642]# ll total 0 dr-xr-xr-x 2 ro...
urdf和rviz的初步使用
Mr_rustylake的博客
01-04 1059
我们可用urdf在rviz中搭建三维模型。
记一次挖矿病毒应急处置全过程&挖矿处置基本操作
心想事成
12-20 1304
每次挖矿的情况都不太一样,只能做一个参考。具体还需自行检查
linux 病毒 挖矿病毒kworkers
堂哥码财的博客
08-24 3133
修复病毒参考: https://blog.csdn.net/elvismelody/article/details/119718680
记录一次centos被挖矿病毒感染的经历
fengwuxichen的博客
04-26 1万+
公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。感染原因应该是redis没有设置密码导致的。记录一下临时处理记录。 安装busybox 由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。...
Linux系统批量释放deleted文件占用的空间
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-16 3275
现场某业务系统迁移到新的资源池后,后端java程序不定时遇到程序所在磁盘被占满的情况,实际有效数据并没有那么大,磁盘200G,有效数据只有42G,但磁盘使用率会报道98%,触发文件使用率告警。上述造成文件系统被占满的原因就是,该业务下的临时目录temp下存储临时上传文件,该文件呗删除后显示deleted状态,但只要程序运行,该文件所占空间并不会得到释放,日积月累,导致文件系统被爆。最简单的就是kill掉服务进程,然后重启,相关文件释放后,文件系统空间也就被释放;然后用定时任务,每4h检查一次就行。
Centos7 逻辑卷管理(LVM)
友人A的博客
06-18 2578
一、LVM概念 1、物理设备是用于保留逻辑卷中所存储数据的存储设备。它们是块设备,可以是磁盘分区、整个磁盘、RAID阵列或SAN磁盘。设备必须初始化为LVM物理卷,才能与LVM结合使用。整个“设备”将用作一个物理卷。 2、物理卷(PV)用于注册基础物理设备以便在卷组中使用。LVM自动将PV划分为物理区块(PE); 它们是充当PV上最小存储块的小块数据。 3、卷组(VG)是存储池,由一个或多...
kdevtmpfsi挖矿病毒,反复启动,守护进程kinsing害人不浅,一次彻底删除
m0_37587869的博客
01-04 3170
最近照例巡检服务器情况,当看到cup 直接飙到100%,像脉搏监视器检测到人没有心跳了一样,全是直线,吓我一身冷汗,预感大事不妙!继续查看发现是一周前19点左右开始的,这就很奇怪,cpu 跑100%,商城竟然没有挂掉(虽然是地方小商城,但用户量也有10万加,要是挂了后果不堪设想),真是不幸中的万幸。发现是中了木马,有人在服务器上挖矿kdevtmpfsi。然后百度了一圈,下面综合各位大神的办法,最终解决,总结一下 1.首先,top 了下系统进程 2.接着输入命令 systemctl status 12625
服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
热门推荐
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。 现将清除挖矿病毒的步骤梳理如下: 1. 检测服务器是否有挖矿病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
服务器被攻击植入挖矿病毒,CPU占用高问题排查处理(.systemd-service.sh)
gottst0113的博客
03-06 1674
客户服务器遭攻击,部署的应用服务经常性被停止,服务器CPU占用居高不下,top查看如下: 可以看到第一个bash任务,占用cpu近400%,非正常的应用程序和脚本任务,多半是被植入了木马信息。 查看该进程的符号连接,发现已经是被删除的状态 /usr/bin/-bash (deleted),无法查看其启动程序的信息 查看定时任务:cat /etc/crontab,发现都是正常的应用程序定时脚本 又用 crontab -l 查看了一下,发现了异常定时任务如下,同top里的异常任务一致...
NTU-RGB+D数据处理(CTR-GCN ICCV2021)
qq_33331451的博客
12-09 4594
文章目录get_raw_skes_data.pyget_raw_denoised_data.pyseq_transformation.py get_raw_skes_data.py ''' 本文件主要生成四个文件 raw_data ├── frames_cnt.txt │ ├── num_frame_interval(list) ├── frames_drop.log │ ├── num_frame_interval(list) ├── frames_dro
记服务器被入侵挖矿病毒kthreaddi处理解决过程思路
lampol
04-01 1万+
今天突然收到很多阿里云发来的短信,然后去看看网站打不开了 cpu直接干到了90%,然后top一下看看 看到 kthreaddi 就大体明白了,前几天也有一个阿里云机器,也是有这个进程 但是当时服务器 还有一天就过期 也没有用,然后就没管。但是今天这个必须要管了。 首先第一步 kill一下进程探探路,发现并没有什么卵用,kill掉后马上又会重启,当然了他们也没有那么傻,好不容易能够入侵,怎么可能那么容易解决。 先去找找这个东西[kthreaddi],是干什么的? ...
Ruckus 无线路由器被曝多个严重漏洞
smellycat000的专栏
01-03 1292
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队在2019年12月27日至30日举行的德国36C3大会上,HCL AppScan 旗下Aleph Research 组织的研究...
记一次挖矿病毒清理事件
zhanghui200920061988的博客
03-13 1813
近期挖矿病毒猖獗,本文主要记录一次挖矿病毒的清理记录,用以记录或者帮助他人。 中毒特征 输入 top 然后回车查看进程,存在进程消耗了大量CPU,使用kill命令结束进程后,过一段时间后,又会出现。 可能的入侵方式 目前发现常用的入侵方式包括: 利用redis漏洞。redis未设置密码或者密码太过于简单。 系统登录用户口令较为简单。 处理方式 目前处理挖矿病毒的常用的方法包括: 检查定时任...
镜像问题(k8s部署考试系统)
最新发布
m0_70848838的博客
09-14 896
如果使用containerd拉取不到镜像的话,就使用docker
SSHamble:一款针对SSH技术安全的研究与分析工具
FreeBuf_的博客
09-11 1072
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
Bug管理流程详解:分级、状态与处理策略
这个流程通常包括Open(开启)、Closed(关闭)、Deleted(删除)等状态,每一步都对应特定的处理步骤。开发团队和测试团队根据BugStatus和Resolution状态进行交互,以确保问题得到妥善解决。 Bug的分级标准是评估...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值