服务器中了挖矿病毒的检测及删除方法

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量8.5k 收藏 33
点赞数 8
分类专栏: 程序员实用工具集合 文章标签: 挖矿 挖矿病毒 病毒 删除挖矿病毒 检测挖矿病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/penriver/article/details/121901075
版权

最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。
经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。

现将清除挖矿病毒的步骤梳理如下:

1. 检测服务器是否有挖矿病毒

使用top命令查看进程及占用cpu百分比,
如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。
在这里插入图片描述

2. kill 病毒进程id

kill掉CGroup的所有进程id

systemctl status 病毒进程id

在这里插入图片描述

3. kill 包含tracepath的进程


                

                
                
        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  enjoy编程
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
挖矿病毒常见处置方法

				
			

			

				

					weixin_46597076的博客
				

				

					02-24
					
					4848
					
				

			

		

		

			
				
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。

			
		

	



                

              
                



	

		

			

				
					
排查挖矿病毒

				
			

			

				

					gender123的博客
				

				

					03-28
					
					4621
					
				

			

		

		

			
				
场景

最新发现linux服务器一直很卡,导致无法编译和其它相关操作。

排查分析

经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。


top - 19:29:19 up  1:24,  2 users,  load average: 41.71, 41.75, 41.46
Tasks: 891 total,   3 running, 502 sleeping,   0 st..

			
		

	



                


  
              

                


	

		

			

				
					
挖矿病毒应急处置

				
			

			

				

					2301_77977773的博客
				

				

					07-22
					
					1723
					
				

			

		

		

			
				
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。

			
		

	





	

		

			

				
					
服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案

				
			

			

				

					weixin_44874487的博客
				

				

					03-15
					
					2524
					
				

			

		

		

			
				
挖矿病毒syst3md及其伪装者的解决方案,涉及到操作系统的完全解决方案!

			
		

	



		

			
		



	

		

			

				
					
服务器挖矿病毒检测删除方法(如dhpcd,kdevtmpfs等)

					
热门推荐

				
			

			

				

					阿拉修
				

				

					01-10
					
					1万+
					
				

			

		

		

			
				
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。
经排查是部分linux服务器挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
现将清除挖矿病毒的步骤梳理如下:
1. 检测服务器是否有挖矿病毒
使用top命令查看进程及占用cpu百分比,
如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。

2. kill 病毒进程id
kill掉CGroup的所有进程id
systemctl status 病毒进程id

3. kil

			
		

	





	

		

			

				
					
服务器了名为spreabcd的挖矿病毒,处理流程。

				
			

			

				

					qq_35031494的博客
				

				

					11-22
					
					312
					
				

			

		

		

			
				
今天早上在服务器输入命令的时候,突然发现很卡。
于是看了一下内存,发现竟然被全部占用,然后又看了一下cpu,竟然飙到了200%!!!what fack?

ps看了一下有几个相关进程:

于是就按网上的方法进行排查:
1.查看进程相关信息:systemctl status 24705

可以看到与这几个文件相关。

...

			
		

	





	

		

			

				
					
记云服务器挖矿病毒与防范

				
			

			

				

					每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
				

				

					06-03
					
					728
					
				

			

		

		

			
				
我自己的一台腾讯云服务器还有工作室指导老师的电信云服务器挖矿病毒,其特征都是出现CPU拉满的情况。这是我自己的一台1核2G的服务器,带宽1mbps,挖矿病毒后,首先就是出现xshell连接不上,监控显示CPU拉满,此时我就断定是挖矿病毒导致CPU一直在负荷工作。机子是8核16GB,挖矿病毒后,我的xshell依旧能够连上,起初我并没有察觉到挖矿病毒,可能机子太好原因?我docker容器都开了好几个我都没察觉。发现经过:起初我想本地写一个shell脚本,然后添加一个定时任务来定期进行my

			
		

	





	

		

			

				
					
记一次服务器挖矿病毒检测删除方法

				
			

			

				

					zhimeng1的博客
				

				

					09-20
					
					230
					
				

			

		

		

			
				
2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。5、突然想到公司做过等保测评,还有日志审计服务器,查询到下图,是通过跳板机,试错密码登录到内网,然后进行部署内部服务器的,这台服务器也是唯一一个不曾180天定时修改密码的服务器。确保您的服务器始终保持最新的安全补丁和软件版本,并定期进行安全审计和扫描,以确保您的服务器始终保持安全。间docker修复,又挂掉,iptables又莫名被删除,一天来来回回的折腾七八次。

			
		

	





	

		

			

				
					
排查腾讯云服务器挖矿病毒【pnscan】挟持

				
			

			

				

					fanxindong0620的博客
				

				

					09-27
					
					6516
					
				

			

		

		

			
				
一、问题发现
最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息:
二、排查过程
使用last查看最近登录信息
使用history查看历史指令
查看/etc/passwd下的账户信息
查看日志文件/var/log/secure和/var/log/message
使用top查看进程运行信息
使用netstat查看端口信息
三、解决方案

...

			
		

	





	

		

			

				
					
阿里云服务器挖矿病毒XMrig miner解决方法

				
			

			

				

					Starbme_2018的博客
				

				

					03-18
					
					1万+
					
				

			

		

		

			
				
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。

查了一下告警信息,如下:


该告警由如下引擎检测发现:...

			
		

	





	

		

			

				
					
最新挖矿病毒xmrig清除方法和原理

				
			

			

				

					m0_73140589的博客
				

				

					03-21
					
					3588
					
				

			

		

		

			
				
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警

			
		

	





	

		

			

				
					
服务器挖矿病毒了怎么办?

				
			

			

				

					编码人生
				

				

					11-22
					
					7494
					
				

			

		

		

			
				
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看

发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况

果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了
好的,写作素材又有了

首先我们知道服务器挖矿病毒了,一般情况下挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系

			
		

	





	

		

			

				
					
Linux服务器挖矿病毒彻底清除与防护实操指南

					
最新发布

				
			

			

				

					boydoy1987的专栏
				

				

					08-07
					
					645
					
				

			

		

		

			
				
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。

			
		

	





	

		

			

				
					
服务器挖矿病毒怎么解决

				
			

			

				

					m0_70754056的博客
				

				

					07-14
					
					1815
					
				

			

		

		

			
				
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒

			
		

	





	

		

			

				
					
Window应急响应(四):挖矿病毒

				
			

			

				

					
				

				

					08-05
					
					5104
					
				

			

		

		

			
				
0x00 前言

​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。

0x01 应急场景

​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。





0x02 事件分析
...

			
		

	





	

		

			

				
					
挖矿病毒排查并清除

				
			

			

				

					zm96309的博客
				

				

					02-28
					
					4703
					
				

			

		

		

			
				
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。

1、检测服务器是否有挖矿病毒。







使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。

2、输入systemctl status 病毒进程id







kill掉CGroup的进程id

3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器进程且..

			
		

	





	

		

			

				
					
挖矿病毒/远控木马排查思路(Windows系统)

				
			

			

				

					qq_51845659的博客
				

				

					03-18
					
					2861
					
				

			

		

		

			
				
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔记)

			
		

	





	

		

			

				
					
挖矿病毒攻击的排查处置手册

				
			

			

				

					煜铭2011
				

				

					07-01
					
					9201
					
				

			

		

		

			
				
一、背景
在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。
为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析和检测处置建议。
二、为什么会感染恶意挖矿程序
通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式:
2.1.利用类似其他病毒

			
		

	





	

		

			

				
					
【转】服务器挖矿病毒的排查过程

				
			

			

				

					05-25
				

			

		

		

			
				
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。

1. 检查CPU和内存使用率

服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。

2. 检查网络流量

服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。

3. 检查进程列表

服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。

4. 检查系统日志

服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。

5. 检查防火墙日志

服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。

以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 7

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
enjoy编程

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值