Linux挖矿病毒清理流程

已于 2022-08-08 16:36:00 修改
阅读量1.1w 收藏 35
点赞数 5
分类专栏: Liunx 文章标签: linux 运维 服务器
于 2022-03-14 15:29:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ouxx2009/article/details/123479424
版权

Linux挖矿病毒清理流程

1.前言:

根据阿里云快讯病毒公布:

Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害极大。 

        当服务器中毒了,使用SSH/FTPS大多连接不上的。这时候就需要到云平台,使用VNC方式登录。

2.确认Linux是否是中毒

1.使用命令查看当前系统所有进程

一般消耗CUP或者内存90%以上的基本都是病毒,常见的挖矿进程:xfsdatad、rshim、YDService.exe、kinsing、kdevtmpfsi、sysupdate、systemxlv、kthreaddi、kthreaddk 等,病毒进程一版都会跟系统进程名称相似,要注意区分

top 或 ps aux | less

注:top实时监控退出按键:q

2.查看隐藏进程

如果top命令查看没发现异常,但是服务器依然很卡,服务器资源占用居高不下,那就换个命令,查看是否存在隐藏进程

ps -aux --sort=-pcpu|head -10

3. 确定病毒攻击方式<

最低0.47元/天 解锁文章
提枪北上
关注
专栏目录
linux挖矿病毒清理
yb890102的博客
01-05 1482
网络安全,挖矿病毒清流,linux中毒
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 605
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1382
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&amp;amp;amp;cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1806
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3802
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5069
linux挖矿病毒已解决
Linux下清除挖矿病毒
QZ9420的博客
03-07 964
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 525
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文记录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
服务器Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器Linux挖矿木马病毒(kswapd0进程使cpu爆满)
记一次清理挖矿病毒
lixiao0320的专栏
05-13 963
一、前言 这是我第二次遇到这种病毒,第一次是两年前,当时因为公司的一台服务器映射到外网访问,而且还是弱口令,导致整个公司的服务器,全染上了????。。。当时经验缺乏,第一次遇到这种病毒,手足无措,在没有办法的情况下,重新装了一台服务器,后来发现还有好多台,重装效率太低,然后自掏腰包????????(当时主要怕老板骂)找了个运维帮搞定了,然后涨了点知识。。。 这次是之前的同事在他现在公司遇到的问题,搞了好多天无果,找我帮忙看看,由于最近也比较忙,耽误了几天(2021-5-11)才帮他解决(
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔记068
添柴程序猿的专栏
12-11 597
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
挖矿病毒清理
chunhua1026的专栏
09-01 2540
前言: 今天登录vCenter,发现公司虚机一片告警,很罕见的场景~ 操作步骤: 首先通过SecureCRT或XShell登录目标虚机,也可通过cmd窗口:ssh root@10.6.6.*登录。 查看是否中毒,执行top命令 本次以10.6.6.52这台虚机为例,cpu 4核,如下图所示,这是中了挖矿病毒的截图,第1个进程将4核cpu全部占满,command为一段随机字符串。如果top显示并没有此进程,恭喜你并未中招,下面的章节忽略就好。 另一个检查方法,查看是否有此文件:/opt/unixdb
linux解决挖矿病毒
qianjiu520的博客
05-30 807
linux解决挖矿病毒
【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 1866
病毒来源安装脚本旷池提供的卸载脚本。
Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
无限迭代中......
04-16 5139
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate、networkservice都在/etc/目录下 到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh...
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4842
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2239
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
linux 被入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. 停止挖矿进程:查找并停止正在运行的挖矿进程。可以使用命令 `ps aux | grep miner` 或 `top` 来查找并终止挖矿相关的进程。如果您知道具体的挖矿进程名称,也可以直接使用 `kill` 命令来终止进程。 3. 清理恶意软件:查找并删除与挖矿相关的恶意软件。您可以使用命令 `find / -name <file_name>` 来查找文件名包含指定字符的文件,然后手动删除这些文件。 4. 更新和修补系统:确保您的 Linux 系统和相关软件都是最新版本,并应用安全补丁。这有助于修复已知的安全漏洞,减少入侵的风险。 5. 检查系统日志:检查系统日志文件,查找与入侵和挖矿相关的异常行为。常见的日志文件包括 /var/log/auth.log、/var/log/syslog 等。分析这些日志可以帮助您了解入侵的来源和方式。 6. 强化安全措施:采取额外的安全措施来保护您的系统,如使用强密码、启用防火墙、限制远程访问、使用安全软件等。确保您的系统和应用程序都有合适的安全配置。 7. 进行系统扫描和恢复:可以使用安全软件或工具对系统进行全面扫描,以查找和清除潜在的恶意文件和后门。还可以恢复受影响的文件和配置,以确保系统正常运行。 请注意,上述措施可能需要一定的专业知识和技术能力。如果您对此不太熟悉,建议寻求专业人士的帮助,如网络安全专家或系统管理员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值