【Ubuntu】记一次.system病毒的发现

已于 2024-10-08 11:56:52 修改
阅读量312 收藏 10
点赞数 4
文章标签: ubuntu linux 运维
于 2024-08-29 14:02:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ncusc/article/details/141675532
版权

【Ubuntu】记一次.system病毒的发现

【问题发现】阿里云服务器报警CPU占用100%

【问题排查】

  1. 直接使用ubuntu自带命令top查看进程,但是只看到CPU占用了100%,没看具体是哪个进程引起的
  2. 辗转搜索发现btop更好用,且看到的会更多,于是下载安装

    安装btop

    # 下载压缩包
wget https://github.com/aristocratos/btop/releases/download/v1.2.13/btop-x86_64-linux-musl.tbz
# 解压
tar -xvf btop-x86_64-linux-musl.tbz
# 进入解压后的文件夹,进行安装
cd btop
# 指定安装的目录
make install PREFIX=/opt/btop
# 运行
/opt/btop/bin/btop
  3. 运行btop后,界面一目了然,CPU占用100%的原因是因为.system 的进程在跑,目录文件是 /var/spool/.system/.system

在这里插入图片描述

【问题解决】

  1. 百* 以及 G* 都搜索了 /var/spool/.system/.system 这个文件,但是都没有相关文章提到,个人感觉应该是个挖矿病毒,啥也不说,先kill掉进程。果然CPU立马降下来了,不过好景不长,过了几分钟后,又有另外个PID不同的进程启动了, 同样还是这个文件

  2. 根据PID,找到主进程ID是1

    #进入进程号目录 cd /proc/PID号
cd /proc/18478  
#通过下面命令查看该PID号对应的父进程,即找到PPID这个进程号
cat status

    在这里插入图片描述

  3. 1是个启动进程,不太确定能不能杀死或者杀死后有什么后果,所以还是不敢乱杀

  4. 尝试着把文件 /var/spool/.system/.system 改名,可以修改成功,没占用,然后再把进程ID 杀死,这次也是同样CPU降下来了,过了几分钟再看,没有继续启动,貌似解决了

【问题依旧】

过了几天,这文件又自动生成,卷土重来了,查看定时任务crontab,也没发现异常,暂时还不知道是什么原因以及解决办法,只能发现一次就重复上面的操作,慢慢找原因了

【解决】

以上只能暂时解决问题,每隔几天,那个.system的文件就会自动生成并且自动启动占用CPU,那感觉应该是有自启动的服务在作怪,在crontab 里没发现异常,在systemed 的目录/etc/systemd/system/multi-user.target.wants/ 发现有个cdngdn.service 的文件相当可能可疑, 于是要到网上搜索了一下,百**搜不到任何相关资料,G* 搜到了 cdngd.server 这个文章,打开一看,好家伙,和我的情况一模一样的,于是根据该网页的方法用结束进程,后续再看看是否还会重来。PS:改完后把服务器root密码也改了

	#停止该服务进程
	systemctl stop cdngdn.service 
	#删除服务进程	
	systemctl disable cdngdn.service

【又重新自动启动】

隔了一个多星期,这两个文件 .system .cdngdn.server 又出现了。 :(
只能继续再找原因,待更新……

【第二次处理】

隔了一天又自动重启了,这次使用如下命令查看该服务的资料

#使用下面命令查看服务相关资料
abc@usera:~# systemctl cat cdngdn.service
#/lib/systemd/system/cdngdn.service
[Unit]
Description=umx
After=network.target

[Service]
Type=forking
GuessMainPID=no
ExecStart=/var/spool/.system/.system
Restart=always
User=root

[Install]
WantedBy=multi-user.target

可以看到还有一个文件在 /lib/systemd/system/ 目录下,按照之前的步骤,把之前两个目录文件删除,再把这个文件删除,后续再看看是否会再重启

【又出现了】

这次又有发现,在 /usr/lib目录多了个 libsystemd-shared-165.so的文件, 谷歌了下,这次能找到相关病毒信息了,网址:网址
网址2, 文章提到可能是docker的对外端口可能存在问题

根据提示,删除对应文件
/usr/lib/libsystemd-shared-165.so
/etc/ld.so.preload

另外还有个方法也试了, systemctl mask cdngdn.service "mask"彻底屏蔽服务,阻止其启动,适用于威胁系统稳定性的服务

刘斌Eric
关注
【实战】一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1610
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
一次ubuntu服务器CPU占用100%的问题排查过程
ideaoverflow的博客
05-02 8441
最近在ubuntu服务器上跑深度学习的训练程序,运行一段时间程序就会被kill,给实验带来了不少麻烦。作为linux小白,着实是被这个问题困扰了一段时间,现将最后成功的方法录下来。 关于这类问题,最常见的原因是系统内存不足,触发了OOM killer。于是先用htop查看系统的资源使用情况: 发现系统内存仍然是充足的,但是所有CPU核心都是100%占用。所以应该不是内存不足的问题,而是因为CPU爆满了。CPU主要是被一批“python”进程占用了。尽管这批进程的启动命令都显示为“python”,但没有参
ubuntu病毒.report_system 占用100% CPU
jekc2008的专栏
08-29 982
查看进程。
Linux的一些知识(9)
weixin_45866849的博客
09-27 1310
1. Linux定时任务的介绍和使用 2. date 命令的学习
CentOS7系统目录详解
何哥的博客
06-20 3620
1、Linux 文件类型 LINUX有四种基本文件系统类型:普通文件、目录文件、连接文件和特殊文件,可用file命令来识别。     普通文件:如文本文件、C语言元代码、SHELL脚本、二进制的可执行文件等,可用cat、less、more、vi、emacs来察看内容,用mv来改名。     目录文件:包括文件名、子目录名及其指针。它是LINUX储存文件名的唯一地方,可用ls列出目录文件。     连接文件:是指向同一索引节点的那些目录条目。用ls来查看是,连接文件的标志用l开头,而文件面后以...
Linux /var/spool/cups下的文件是打印缓存文件,由cupsd进程控制打印完后删除
JiaYu_Guo的博客
01-11 3429
Linux 文件夹/var/spool/cups下的文件是打印缓存文件,由cupsd进程控制打印完成后删除,现在已经做了一个守护进程监控这个文件夹,一有文件就复制出来,但是发现复制出来的文件没有内容,怎么解决,C编程??
Linux各目录及每个目录的详细介绍 (超详细)
她们都叫我靓仔
08-19 7057
Linux各目录及每个目录的详细介绍 在 Linux 下,我们看到的是文件夹(目录): 在早期的 UNIX 系统中,各个厂家各自定义了自己的 UNIX 系统文件目录,比较混乱。Linux 面世不久后,对文件目录进行了标准化,于1994年对根文件目录做了统一的规范,推出 FHS ( Filesystem Hierarchy Standard ) 的 Linux 文件系统层次结构标准。FHS 标准规定了 Linux 根目录各文件夹的名称及作用,统一了Linux界命名混乱的局面。 无论何种版本的 .
linux系统/var/log目录下的信息详解
weixin_33725807的博客
04-03 308
linux系统/var/log目录下的信息详解 一、/var目录 /var 所有服务的登录的文件或错误信息文件(LOG FILES)都在/var/log下,此外,一些数据库如MySQL则在/var/lib下,还有,用户未读的邮件的默认存放地点为/var/spool/mail 二、:/var/log/ 系统的引导日志:/var/log/boot.log 例如:Fe...
Ubuntu9.10教程指南 pdf.zip
03-31
Ubuntu 9.10,代号“Karmic Koala”,是Ubuntu Linux发行版的一个重要版本,发布于2009年10月。本教程指南旨在帮助用户熟悉这个操作系统,提供安装、配置、安全性和日常使用的详细指导。下面将对Ubuntu 9.10的关键...
Ubuntu Linux操作系统安装后的自定义设置.pdf
11-13
Ubuntu是一个基于Linux内核的开源操作系统,以其稳定性和丰富的桌面环境而受到用户的喜爱,特别是对于初次接触Linux的一般用户来说,它提供了良好的中文化支持,使得操作更为便捷。 1. **基础系统安装** 使用...
Ubuntu完全教程,让你成为Ubuntu高手
热门推荐
翻肚鱼儿的博客
02-07 2万+
Ubuntu的发音 Ubuntu,源于非洲祖鲁人和科萨人的语言,发作 oo-boon-too 的音。了解发音是有意义的,您不是第一个为此困惑的人,当然,也不会是最后一个:)大多数的美国人读 ubuntu 时,将 u 作为元音发音,类似单词 who 或者 boo ,重音在第二个音节即 u'buntu ,oo-boon-too 。如果您喜欢撒哈拉,喜欢它令人窒息的温柔、梦幻般的寂寥还有张扬恣肆的旷远,您大可在第一个 u,后面带些嗡嗡声: oom-boon-too。Ubuntu的中文发音大约为: 乌班图 1.
/var/目录详解
灬紫荆灬
11-20 1万+
var目录 /var 包括系统运行时要改变的数据。其中包括每个系统是特定的,即不能够与其他计算机共享的目录,如/var/log,/var/lock,/var/run。有些目录还是可以与其他系统共享,如/var/mail, /var/cache/man, /var/cache/fonts,/var/spool/news。var目录存在的目的是把usr目录在运行过程中需要更改的文件或者临时生成的文件及...
linux ubuntu木马,Ubuntu病毒查杀 ClamAV 简介以及适用范围
weixin_31067561的博客
05-15 2291
ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。需要反病毒软件?免费么?绝大多数的Linux是先进的,所以,很少的病毒能够在linux上运行和繁衍。...
Linux服务器 /var/spool/clientmqueue 目录下产生大量文件的解决办法
东杰书屋
07-24 1万+
今天收到nagios报警邮件,其中一台server中的磁盘分区空间超过95%,登录到服务器查看 [root@hadoop-node-29 ~]# df -h Filesystem            Size  Used Avail Use% Mounted on /dev/sda5              19G   16G  2.8G  95% /var 到目录/var查看哪个
Ubuntu服务器中/.cron异常运行
保护色的博客
03-18 512
近期在维护服务器时发现,CPU被异常占用,输入htop查看占用情况,看到是一个/.cron指令占用了大量CPU。 解决过程如下: 第一步:输入htop指令(需要安装,没安装也可以用top指令代替), 让进程按照CPU的占用排名来排序,从而发现异常进程。 第二步:找到该任务对应的用户,到该用户的根目录下,ls -a 显示所有文件,找到.ssh文件。这个文件一般是在秘钥登录时会用到,但是问...
五款针对Ubuntu系统的最佳杀毒软件
weixin_34217711的博客
08-15 1万+
随着使用 Linux 作为主要桌面的用户越来越多,很多黑手都伸向了这部分用户。虽然目前专门针对 Linux 的专有恶意软件还比较少,但大家还是需要保持相当的谨慎才是才策。由于大部分 Linux 新手用户中 Ubuntu 的使用率比较高,我个人也最常用 Ubuntu 版本,所以在此向大家推荐 5 款针对 Ubuntu 系统的最佳杀毒软件。 在此想提醒使...
Ubuntu 搭建 Gitea
最新发布
m0_58648890的博客
10-07 200
1. 安装必要的依赖2. 创建Gitea用户3. 安装MySQL(可选)如果安装了MySQL,可以创建gitea用户和gitea_db数据库,并且赋予权限。
Ubuntu 下通过 Docker 部署 NAS 服务器
shelby_loo的博客
09-30 724
Docker 是一个开源的容器化平台,通过将应用及其依赖打包到容器中,简化了软件的部署与管理。Docker 可以让我们轻松地在任何环境中运行应用,并且可以快速地创建、移动和复制容器。对于 NAS(网络附加存储)软件,最受欢迎的选择之一是。它是一个基于 Debian 的 NAS 解决方案,提供了丰富的功能,如文件共享、备份、用户管理等。通过 Docker 部署 OpenMediaVault,不仅节省系统资源,还能实现快速恢复和轻松升级。
ubuntu解包打包system.img
06-28
### 回答1: Ubuntu解包打包system.img的步骤如下: 1. 安装Android SDK和fastboot工具。 2. 将system.img文件复制到Ubuntu系统中。 3. 在终端中输入以下命令,解包system.img文件: mkdir system sudo mount -o loop system.img system cd system sudo tar -cvpzf system.tar.gz . sudo umount system 4. 打包system.img文件,输入以下命令: sudo mkfs.ext4 -L system system.img sudo mount -o loop system.img system sudo tar -xvpzf system.tar.gz -C system/ sudo umount system 5. 完成后,可以将新的system.img文件复制到Android设备中,以替换原有的system.img文件。 ### 回答2: UbuntuLinux操作系统的一种发行版,使用Ubuntu系统可以解包打包system.img。system.img是Android系统的一个映像文件,包含了系统的所有文件和配置。为了修改Android系统,我们需要解包system.img,进行修改,然后再打包回去。 首先,我们需要安装Android SDK和Ubuntu系统。Android SDK是Android开发工具包,它包含了解包和打包system.img所需要的工具。Ubuntu系统可以在官网上下载安装。 接下来,我们需要在终端中运行命令,打开SDK Manager,安装Platform-tools和Build-tools。这两个工具是解包和打包system.img所必需的工具。 然后,我们需要将system.img拷贝到Ubuntu系统的某个目录下,比如/home/user/android/system.img。 接着,我们需要在终端中运行以下命令: $ mkdir /home/user/android/system 这个命令将创建一个名为system的文件夹,我们将解包system.img到这个文件夹中。 然后,我们需要运行以下命令: $ sudo mount -o loop /home/user/android/system.img /home/user/android/system 这个命令将把system.img挂载到system文件夹中,允许我们对它进行修改。 现在,我们可以进行Android系统的修改了,比如添加新的应用程序或者修改系统设置。修改完成后,我们需要运行以下命令,解除system.img的挂载: $ sudo umount /home/user/android/system 然后,我们需要运行以下命令,重新打包system.img: $ cd /home/user/android $ sudo mkuserimg.sh system system.img 这个命令将把system文件夹打包成一个新的system.img文件。 最后,我们需要将新的system.img文件拷贝到Android设备中,替换原来的system.img文件。这个过程需要在root权限下进行。 以上就是在Ubuntu系统中解包打包system.img的步骤,需要注意的是,这个过程需要一定的Linux基础知识。 ### 回答3: Ubuntu是一种比较流行的操作系统,可以用它来解包打包system.img文件。system.img是Android系统中所用的映像文件,如果需要对Android系统进行修改或者制作ROM,那么就需要掌握如何解包和打包system.img文件。 解包system.img 解包system.img的过程可以分为以下几步: 1. 安装相关工具。Ubuntu的包管理工具APT可以用来安装所需的工具,比如Android SDK、fastboot、adb等。 2. 在Ubuntu上打开终端,通过adb工具获取设备的分区表。adb shell命令可以在设备或模拟器中访问shell,使用命令cat /proc/mounts可以得到设备分区表。 3. 使用mount命令将所需的分区挂载到本地文件系统中,比如system.img。执行如下命令: sudo mount -t ext4 -o loop system.img system/ 其中-t ext4是指文件系统类型,-o loop表示使用循环设备挂载到系统中。 4. 解压system.img。使用如下命令将已挂载的system.img中的所有文件提取到system目录中: sudo tar -cvf system.tar system/ 其中-c表示创建新的tar文件,-v表示输出详细信息,-f表示指定存储数据的文件。 打包system.img 打包system.img也需要进行以下步骤: 1. 创建一个文件夹system,将需要添加到system.img中的文件拷贝到该文件夹中。 2. 将system文件夹打包成tar格式: sudo tar -cvf system.tar system/ 3. 将tar文件打包成img格式。执行如下命令: sudo mkuserimg.sh system/ system.img ext4 system 256M 其中system/是需要打包的文件夹路径,system.img是输出映像文件名,ext4是文件系统类型,system是文件系统标签,256M是映像文件大小。 以上就是在Ubuntu上解包打包system.img的具体步骤,需要注意的是,在执行解包或打包系统映像文件的过程中,要注意使用权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值