记一次挖矿排查与解决

已于 2022-03-21 15:48:13 修改
阅读量530 收藏
点赞数
文章标签: linux 运维 服务器
于 2021-01-29 19:41:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mkhhxxttxs/article/details/113404419
版权

记一次挖矿排查与解决

1 发现问题

阿里云服务器出现一个字母组成的进程,占用大量CPU资源,杀掉后自动恢复,crontab定时任务删掉会自动恢复。

涉及命令:
1、top  #查看资源占用情况
2、ll /proc/PID  #查看具体进程信息
3、crontab -l  #查看crontab定时任务

在这里插入图片描述
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210129184900610.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naG
VpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L21raGh4eHR0eHM=,size_16,color_FFFFFF,t_70)
在这里插入图片描述

2 排查问题

2.1 排查定时任务

cat /root/.systemd-service.sh #查看文件

在这里插入图片描述
查看定时任务指定文件.systemd-service.sh,对文件践行base64解码
base64解码地址:https://base64.us/会出现目录/tmp/.X11-unix在这里插入图片描述
切到对应目录,查看01,11,22文件,里面对应这进程id.

cd /tmp/.X11-unix  #切到对应目录
ls   #查看文件夹
cat 01  #查看文件

在这里插入图片描述
在这里插入图片描述
总结:本小节排查总结
1个可执行文件:/root/.systemd-service.sh (删除)
1个定时任务:利用命令crontab -r( 删除)
2个进程:22468和4840(kill -9杀死)
2.2 排查可疑公钥
把里面的可疑公钥清空。(ssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告)

.ssh/known_hosts

总结:清空可疑 公钥
2.3 排查host配置
把hosts文件里的可疑IP删掉

/etc/hosts

总结:清空可疑host配置
2.4 排查cron.d
查看该目录下有没有可疑文件,有的话删除

/etc/cron.d/

总结:删除可疑文件
2.5 排查opt
排查opt文件,发现可疑文件systemd-service.sh.同样方法,解码查看文件。同时发现文件ryukd.sh和ucxin.sh。目前好像不是这个引起的,先把这两个文件变为不可执行权限

cd /opt/
chmod 000 ryukid.sh  #改变文件权限为不可读不可写不可执行
chmod 000 ucxin.sh

在这里插入图片描述

在这里插入图片描述
错误:当出现无权操作文件的时候Operation not permitted,点击参考链接,使用命令即可修改在这里插入图片描述
结果:删除可疑文件,把可疑文件变为不可执行

3 解决问题

1、删除crontab 定时任务
2、清空know_hosts 可疑密钥
3、清空hosts可疑配置
4、把定时任务对应的文件删除干净(/root/.systemd-service.sh,包含其他可疑文件)
5、清空cron.d下的可疑文件
6、把/opt/下面的可疑文件删除,变为不可执行(/opt/systemd-service.sh)
7、把两个进程杀死

mk菜鸟的成长笔记
关注
一次xmrig挖矿病毒排查
weixin_43831977的博客
02-23 1354
一台运行了好久的服务器CPU使用率达到100%,脑海中第一个想法就是中病毒了,于是开始了我的杀毒之旅。 解决方案 登录服务器查异常进程 top -c 可以发现有个名为xmrig的进程CPU使用率98.7% kill掉异常进程 经过top命令发现异常进程的pid,通过kill命令杀掉进程 kill -9 15866 删除危险文件或目录 经过top命令发现异常进程的执行目录,删除危险目录 rm -rf c3pool/ 检测 可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用
录又一次挖矿病毒来袭
weixin_41762839的博客
06-08 710
各位小伙伴,今天又是一次因为tomat版本过低有漏洞,通过tomcat sql注入的挖矿病毒,这东西烦得很; 一大早刚来同事就跟我说服务器卡的要死,我心一惊,一想没准又是被黑,上去一看,果不其然,又中招了,防不胜防啊! top看了一下,卧槽,果然又是这个鬼东西! 果断查找进程位置; ll /proc/19778 根据以往经验,可能不全面,执行以下几步: 1.马上解锁降权 chattr -i /* chmod 444 ./* chmod -x ./* 2.改属...
一次挖矿
汪汪汪汪吁的博客
08-15 127
利用top命令看到,cpu已经被kdevtmpfsi占满了,然后通过了解,这是一个常见的挖矿工具 利用这个能够看到定时任务crontab -l(大多的挖矿工具都利用定时任务来进行) 主要是有两个进程一个是kdevtmpfsi,另一个是它的守护进程,如果只删除kdevtmpfsi,他会不断恢复占用。 利用ps -aux | grep kinsing 和 ps -aux | grep kdevtmpfsi 拿到进程的pid,然后分别用kill -9 [pid] 强制结束进程 之后去tmp文件夹下把kdevt..
一次挖矿的惨痛经历
yangziqi098的博客
08-05 1938
top,看哪个占用高 然后去etc找update.sh 挨个chattr -i {文件名} 然后chmod 000 {文件名} 最后 rm -r {文件名} chmod 777 /etc/sysupdate chattr +i /etc/sysupdate chmod 777 /etc/networkservice chattr +i /etc/networkservice chmod 777 /etc/config.json chattr +i /...
一次挖矿脚本应急排查
今天是几号的博客
12-19 2044
打完靶场得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
最新发布
2401_84140140的博客
04-09 941
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
liunx挖矿程序排查思路
凯歌响起的博客
10-23 2149
最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下:安全告警邮件。
一次挖矿病毒pnscan攻击服务器的过程
王一把的博客
07-21 962
服务器之前运行的很好,突然内存使用无故暴涨,且top命令无法看出哪里在消耗,病毒隐藏的很深啊。 这个样子: 直接导致我无法部署正常的服务。 然后去服务监测面板看情况: 在11.30分左右,这个读写率突然加大 排查服务器发现/usr/local/bin下有个文件 11:29分时候被植入这个文件,这就是病毒文件pnscan,用来挖矿的病毒。 再看root/.ssh下莫名其妙的多了2个key 这个key就是黑客攻击植入电脑的免登陆的鉴权key,直接ssh免密登录。牛批啊。 ...
集群挖矿脚本排查
tandz_t的博客
01-02 1249
集群挖矿脚本排查1、事件描述2、关键点总结3、解决方案和建议 1、事件描述 集群挖矿脚本,这种事情遇到过好几次了,以前的基本上都是通过yarn的8088端口进来的,然后运行很多的application直接撑爆你的cpu,这种只需要关掉8088的外网访问端口基本就能解决。但是这一次遇到一个非常恶心的挖矿脚本,废fa不多说,先上脚本(如图): 大家可以看到这个脚本是有多恶心,这个还不是最恶心的地方...
一次ubuntu服务器CPU占用100%的问题排查过程
ideaoverflow的博客
05-02 8417
最近在ubuntu服务器上跑深度学习的训练程序,运行一段时间程序就会被kill,给实验带来了不少麻烦。作为linux小白,着实是被这个问题困扰了一段时间,现将最后成功的方法录下来。 关于这类问题,最常见的原因是系统内存不足,触发了OOM killer。于是先用htop查看系统的资源使用情况: 发现系统内存仍然是充足的,但是所有CPU核心都是100%占用。所以应该不是内存不足的问题,而是因为CPU爆满了。CPU主要是被一批“python”进程占用了。尽管这批进程的启动命令都显示为“python”,但没有参
阿里云服务器---排查挖矿病毒
lvxiucai的博客
02-06 4084
1.背景 一次排查挖矿病毒的过程,其实都是按照阿里云官方教程操作,其中有些操作命令需要重点录下,为后面生产环境做铺垫学习。 2.现象 近期测试服务器有黑客通过redis的6379端口入侵,然后阿里云发送报警信息,然后登录控制台发现以下报警信息: 3.恶意文件删除 原先还担心 /etc/sysguard 是不是系统自带的,后来,检查看了下其他机器/etc目录下,都无此文件。遂放心...
被人肉机排查步骤
weizainaiping的博客
05-16 405
之前机子被人攻击用来挖矿,究其原因,是因为系统用户的密码设置过于简单,导致被人盗取并挟持。 现在讲下怎么解决。 1、输入top指令。查看占用内存或者CPU较大的进程是哪个。 并且可以看到是使用哪个用户启动的。 在这里查看到是利用mysql用户启动进程,进程ID是29795 2、利用lsof指令,查看该进程究竟打开了哪些文件 录打开的文件中,异常的目录及文件 3、Netstat -anp |grep 进程号 查找对外通讯的端口 4、查找musql用户的定时任务 Contrab -u my.
挖矿肉鸡排查修复
奔跑吧笨笨的博客
08-13 1万+
昨晚,在可视化平台上,查看服务器监控情况,发现服务器CPU100%运行一天多了。因为是自己的测试服务器,拿来玩的,没有运行什么项目,所以,也没有经常看。发现100%,这是个问题啊,看来有事儿要做了! 排查步骤: 1. top 命令查看服务器运行情况 上图显示:qW3xT.2 进程CPU运行始终保持在98%以上,这个就是问题所在啊。kill 9392 杀死该进程...
服务器挖矿后如何排查处理
热门推荐
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
挖矿病毒攻击的排查处置手册
煜铭2011
07-01 9229
一、背景 在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。 为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析和检测处置建议。 二、为什么会感染恶意挖矿程序 通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式: 2.1.利用类似其他病毒木
一次挖矿木马病毒排查过程
vbaspdelphi的专栏
04-17 8286
兰眼发现该机器与挖矿网站有通信。通知用户进行查杀。电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件。 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现。 但是使用火绒再次扫描系统,依旧发现有文件映像劫持。大体意思是图片文件扩容属性运行taskmgr.exe。 那么什么是映像劫持呢? 什么是映像劫持 也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运...
Linux木马病毒处理
小树苗
10-13 4454
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排查; top #仔细检查异常进程pid ls -l /proc/pid/exe #查看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
Linux 遭入侵,挖矿进程被隐藏排查
weixin_30664539的博客
03-15 1573
今天来给大家分享下这两天遇到的一个问题,服务器挖矿了,把我的排查录分享下,希望能帮到有需要的同学。 问题原因 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 登陆问题主机10.92.0.X,通过执行top命令查看资源使用情况如下 cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进...
Fluent常见报错排查解决策略
在Fluent软件中,用户可能...处理Fluent中的报错时,需要仔细检查模型设置、边界条件、网格质量和相关参数,通过逐步排查和适当调整来解决问题。同时,保持良好的编程习惯和细致的调试过程,有助于减少这类错误的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值