top cpu飙高,中了挖矿程序----解决方法

最新推荐文章于 2023-12-28 17:00:00 发布
最新推荐文章于 2023-12-28 17:00:00 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: Java性能监控与调优
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mynamepg/article/details/82983084
版权

原因:solr漏洞,可升级到solr7.0以上版本,解决漏洞:http://blog.nsfocus.net/cve-2017-12629/

解决挖矿的文章:

1、Emm,qW3xT.2(矿机进程)

2、qW3xT.2,解决挖矿病毒。

总结的如下:

1、top 查看飙高的进程

2、查看进程所在路径,cd /proc/pid号  ls查看cwd命令路径或find进程名

  1、ll /proc/1234

2、假如进程名是qW3xT.2则执行命令find / -name qW3xT*查找进程文件

    

3、清除进程文件

     rm -rf /var/tmp/* 

 

4、查看木马程序(参看:https://blog.csdn.net/mynamepg/article/details/82984365

:

5、定时任务中清除可疑的程序、或关闭定时任务shell中的crontab定时任务:https://blog.csdn.net/mynamepg/article/details/82984301

    a、编辑定时任务或删除

       编辑:

       1、crontab -e

       2、vim /var/spool/cron/root

       删除计划任务:

       1、crontab -r

   b、关闭定时任务

   查看crontab服务状态:

   service crond status

  关闭、开启定时任务

  /sbin/service crond start //启动服务

  /sbin/service crond stop //关闭服务

  查看crontab服务是否已设置为开机启动,执行命令:

  ntsysv

  加入开机自动启动:

  chkconfig –level 35 crond on

6、杀死、清除挖矿程序的守护进程(可能没有守护进程)

7、杀死挖矿程序

     kill -9 1234

 

最终的解决方案:阿里云安全组过滤网络入方向、出方向的ip及端口

1、阿里云报的问题:病毒文件地址:http://192.99.142.248:8220/mr.sh

 

2、阿里云安全组的问题地址:http://www.pgygho.com/help/fwq/7591.html

3、屏蔽

风澍
关注
专栏目录
jenkins漏洞导致服务器挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5757
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
JVM如何排查CPU飙高的问题
T_karine的博客
12-08 1433
对象的布局:对象头、实例数据、对象填充,CPU飙高原因的定位排查
服务器被挖矿,有command为【kthreaddi】的进程跑满cpu,详细解决步骤
LifeOneOnly的博客
06-02 908
1.使用top命令看到有command为【kthreaddi】的进程,例如12236 2.使用netstat -ltnp命令监听到非法监听的进程,识别方法是xiang'mu
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3614
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
记录一次阿里云服务器被黑挖矿的事件(top不显示占用CPU进程)
qq_36588424的博客
12-29 4731
大家好,今天一大早起来一看3台阿里云服务器被吓了一跳,CPU占用高达100%,运行的hadoop服务被卡死,当时完全是懵逼的状态,结果在网上找了下资料,定位到原因为被黑客攻击了,用来当矿机了,当时我懵了,我这垃圾配置,也拿来挖矿,这不是浪费时间么,不过说归说,毕竟还是很影响我使用的,下面是我处理3台服务器的一些步骤。 第一台服务器: 首先我们top一下,看top命令有没有被篡改,如果没有的话,就能一下子定位到是哪个进程占用CPU,如下图所示: 从这张图可以看到,PID为25415的进程占用了大量的CPU
服务器被挖矿后如何处理
似水流年
07-15 2056
挖矿会使服务器硬件资源,如:CPU、内存消耗极大,但是一般运维人员处理挖矿攻击时最头疼的就是处理不干净,其实挖矿攻击能够成功主要方式是通过服务器安装的第三方工具内在的对外RestAPI进行的,这些第三方工具如果API存在漏洞就会很大程度被黑客攻击利用开放的端口进行攻击 攻击步骤: 1.申请新的application 直接通过curl进行POST请求 curl -v -X POST 'http://ip:8088/ws/v1/cluster/apps/new-application' 返回内容类似于:
云服务器挖矿病毒了怎么办?
编码人生
11-22 7495
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器挖矿病毒了,一般情况下挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3448
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
linux服务器http进程CPU异常飙高(轮为免费矿工)
weixin_34235105的博客
01-21 873
最近两次发现服务器CPU占用率达95%左右,top 查看后发现有个进程占用异常偏高。但却不占用大量宽带资源,并且服务器在请求压力不大的情况下能正常访问,也就是不设置资源报警不易发觉。在第一次发现时还以为是系统代码问题导致死循环直接kill进程,但过一周后再次出现相同的情况感觉不对,应该是被玩了。首先查看下进程信息top从top命令可以看到一个http的进程占用资源非常大,服...
【病毒】【CPU使用率为100%】Linux 被 kdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1171
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
记一次服务器被挖矿的处理解决
最新发布
ZL_1618的博客
12-28 1145
last 列出当前和曾经登入系统的用户信息> 它默认读取的是/var/log/wtmp文件的信息> 输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。> 当然也可以通过 last -f 参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!IP 查询,如若未发现异常,推断应该是:攻击者清除了登录记录日志导致的。
服务器挖矿木马识别与清理
m0_65372269的博客
12-12 1069
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
Linux挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7064
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
继续深挖挖矿病毒solr毒途径
flye的专栏
02-23 507
今天突然通过grafana 集群的网卡流量异常,查看hadoop集群有dr.who用户执行yarn 任务。
一次完美彻底的挖矿病毒清理记录,快学起来
qq_42483521的博客
02-09 7435
文章记录服务器挖矿病毒后的发现与清理思路,通过一步步操作流程为用户提供清理服务器病毒的参考。
记录一次服务器被入侵(恶意挖矿)的问题
BaseLike的博客
02-12 5529
一、问题描述 阿里云服务器这段时间一直发送报警信息,如下图所示: 二、问题的解决过程 我对这些报警都没太在意,直到有天我登录宝塔界面,发现登录的过程非常的卡顿,用xshell连接服务器(包括敲命令行)非常卡顿,这时候我才逐渐 重视这个问题。 通过执行top命令以及宝塔页面的数据显示可以看出cpu资源被占的满满的: 下面我将详细说说我的解决步骤: ①因为考虑到我低配置的服务器运行了es,redis等服务,我觉得可能是因为配置太低导致了cpu负载超标,于是我重启了服务器。但发现重启后依旧是cpu占用打满。
挖矿病毒
weixin_38946164的博客
06-17 2005
最近一台服务器运行超级慢,任务管理器查看CPU占用100% ,使用autoruns.exe工具查看到异常任务和进程。 打开文件路径还发现以下文件,config.json , c3a.bat , wina.exe config.json 代码如下: { "api": { "id": null, "worker-id": null }, "http": { "enabled": true, "host": "127
confluence挖矿病毒(kdevtmpfsi 、solrd)解决
lin351550660的专栏
01-12 3582
自己安装了conference,没用1周。发现服务器内存被吃完了。 定位问题: 1、之前就听说过confluence 有漏洞 攻击者会利用confluence编辑页面的某个参数进行写入攻击。所以直接在百度搜索:confluence挖矿病毒 2、感谢https://www.cnblogs.com/hack404/p/11464890.html作者的帮助。 处理过程: 1. 先封掉外网HTTP 端口 使用腾讯云控制台 安全组 设置80端口不允许访问。 2. 查杀进程 使用命令:top 查..
solr搭建+zk
gchgaby的博客
07-30 522
http://www.chepoo.com/solrcloud-tomcat-install-3.html 接着上一篇文章:solrcloud在tomcat下安装(二) 现在来说说第三种情况:多台zookeeper服务器,多台solr服务器 多台zookeeper服务器具备系统高可靠性,高可用性,任意一台zookeeper服务器挂掉,系统会选举出一台服务器为leader。任意一台solr...
TOP242-250文资料:集成高效率电源解决方案
TOP242-250是一款高级的AC-DC转换器,属于TOPSwitch-GX系列,专...TOP242-250是一款集成了多种高级功能的AC-DC转换器,适用于对效率、成本和设计灵活性有较高要求的电源系统,尤其适合于视频应用的小型化和节能需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值