Linux服务器中了挖矿的病毒,成功清理

已于 2022-05-01 19:42:10 修改
阅读量3k 收藏 5
点赞数 3
分类专栏: linux 文章标签: linux 网络安全 运维开发
于 2022-04-13 21:51:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/program_highway/article/details/124159029
版权

文章目录

1. 遇到个奇怪的问题

同事发消息说开发环境某个服务(化名A服务)Jenkins构建失败了。A服务一个普通的Java项目,springboot的jar包,使用的docker发布。
看了看日志,build成功,但是deploy失败了。日志上没显示什么有效信息,于是去服务器上查看。

2. Linux上排查

登录的到Jenkins所在的服务器。检查流程如下

2.1 检查硬盘容量

df -h

结果比较正常,硬盘空间足够,不是日志爆满。

2.2 检查内存

free -h

结果比较正常,内存是足够用的。

2.3 top

top

U以CPU维度排序,按M以内存维度排序,按c显示进程详情。
发现某个进程CPU占用很大

rGDkIakd,不知为何物,第一反应是中毒了。但是搜索引擎搜不到。
TOP页面,按c看进程详情,没有作用。

2.4 ps查看进程信息

ps -ef |grep rGDkIakd

还是一无所获。

2.5 netstat查看该进程占用的端口

netstat -ntlp |grep 19536

netstat -ntlp |grep rGDkIakd

两个命令均无所获,没有任何信息。

2.6 lsof

最后查看文件,有结果了

lsof |grep rGDkIakd

其实有很多条,只截了一条。

打码的是我服务器的domain,一个陌生的ip,查一下,是棒子南朝鲜的ip(也有可能是肉鸡地址,无所谓了就是棒子),

3.动手

现在已经怀疑是个病毒了,现在比较容易中挖矿的病毒,CPU飙升通常是在挖矿。
这种进程,怕死掉,一般会有个保活机制(死掉拉起)。

3.1 检查定时任务

crontab -l

发现了内容

找到这个文件,内容是base64,原文不放了,放个打码的截图

解析一下,原文不放了,放个打码的截图

3.2 做掉

文件都删掉,

rm -rf /root/.sysxxx/xxxx.sh

定时任务也给删掉

crontab -e

3.3 善后

服务器恢复了正常。
后续交给运维善后了,他给的结论

Jenkins的漏洞,被棒子利用了,会在/tmp下创建个文件,把定时任务执行的文件拉过去,然后写到定时任务里面定时检查进程是否还在。

顺手还把Jenkins做了升级。

3.4 结果

一定要经常看看服务器的状态,加一些监控报警。本次中毒的服务器因为某些原因开了公网,之前是内网的服务器所以没监控疏于防范。大家一定要注意啊。

4. 总结

先看几个硬盘、内存、CPU等指标,再看进程、文件句柄,最后检查定时任务。可以揪出来一些简单的有害进程。

关注公众号- 编程highway - 获取更多好文和学习资料

编程还未
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux后门XnoteDDoS2病毒分析与处理方案
si1ence的博客
07-18 1293
0x0 事件背景 某Linux服务器经常出现apache的conf文件被篡改后出现挂黑链的情况,并且偶尔出现大规模的DDOS外发现象恶意进程删除后会自动重启,无法彻底删除。   0x1 初步分析 通过线程检查发现,系统存在二个对外发起连接的进程 外联地址均为HK的IP地址,黑客朋友都懂得,毕竟方便且价格便宜。 根据对二个对外发起连接的恶意进程进行追溯,发现其一个进程的父进程P...
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1355
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1483
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux挖矿病毒的清除与分析
for justice
10-14 3723
清除过程 确定病因 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使用命令: ps -aux | grep sysupdate 查看病毒的PID号。 为了获取绝对路径,使用: ls -l /proc/{pid号}/exe 发现sysupdate...
linux挖矿病毒排查-实操
w_kndy的博客
11-03 782
linux挖矿排查实战,看这一篇就够了
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6400
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
Linux安装DNS服务器
03-15
Linux安装DNS服务器.doc,linux操作系统,redhat下安装dns服务器
linux服务器telnet离线安装包
10-18
适用于linux服务器,centos系统,在无网络或者在内网,安装telnet。检测禁ping时,对指定服务器检测是否互通。命令行命令与window一致。 资源包含: telnet-0.17-65.el7_8.x86_64.rpm telnet-server-0.17-65.el7_8...
Linux服务器安装matlab2019b教程
05-08
Linux 命令行安装matlab,Linux服务器安装matlab2019b教程
Linux服务器配置与管理:Linux环境搭建.pptx
05-01
【知识目标】 熟悉:VMware虚拟机安装 ...3、客户机操作系统窗口选择Linux---在版本下拉框选择RHEL7 4、根据需要设置虚拟机名称和位置。 5、指定磁盘容量,默认20GB。 6、点击完成,linux虚拟机创建成功
Linux防护工具clamav病毒库离线版
12-07
ClamAV是一款开源的反病毒软件,主要用于Linux系统,提供强大的邮件服务器、文件服务器和其他网络服务的病毒扫描功能。这款工具以其跨平台性、免费和开源的特性,在IT行业内受到广泛的青睐。在网络安全日益重要的...
linux 挖矿病毒清理
volf420的专栏
11-19 848
从11月6号开始,公司上网就经常断网,路由器的cpu使用率达到95%以上,大概2分钟一次。导致整个公司无法使用网络。在路由器上,能看到有一台linux的生产服务器的对外连接数达到35万以上。 进入这台服务器,网络连接上会出现一个连接到mcsv.net的getty的终端,通过iftop持续监控网络连接。每隔2分钟,会发起大量的网络连接与网络包。 通过搜索发现在应用目录下,多出一个.git的文件夹,进入此目录 获取当前机器所有账号,隐藏进程,crontab 每隔2分钟启动一次。 1、先把cronta
杀毒成瘾--继续linux服务器挖矿病毒的查杀
一本正经学技术
09-25 1509
运维播报 前言 在昨天设置好定时关闭病毒进程的任务后,今天早上检查一下效果,查看回写日志信息,如下图: 今天继续查找病毒源头。 实时记录 由于直接通过crontab -l命令无法查到真实定时任务,只能通过排查/etc下的cron相关文件进行排查分析。 首先/etc/cron.d目录下存在0hourly文件,查看内容如下: [root@MiWiFi-R2D-srv ~]# cat /etc/cron.d/0hourly # Run the hourly jobs SHELL=/bin/bash PATH=
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒
Senoh的博客
09-30 3402
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2866
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
Linux - 服务器.Xr1挖矿病毒解决记录
LeyiChen_X的博客
08-13 1173
2. 问题定位1. 发现问题开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程2. 问题定位2.1 通过top命令查看, 发现 xr文件, CPU占用过高, 服务器运行时间长了, 会出现很多xr的进程 (这里只有两个是因为刚重启过)2.2 进入进程文件夹, 查看进程文件信息, 才发现是根目录下的 .XL1的隐藏文件2.3进入/.Xr1文件夹可以看到有一个执行文件和一个配置文件2.4查看配置信息可以看到里面有。
Linux下清除挖矿病毒
QZ9420的博客
03-07 929
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
Linux服务器中毒事件(libudev.so)
anhuoqiu1787的博客
06-21 363
  今天机房管理人员反馈公司的某台服务器在防火墙上的连接数超限,登陆服务器时发现非常卡顿,远程登录后查看,CPU持续100%,且有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crontab,并没有发现相关定时任务,整个排查思路如下: 1、查看主机负载,确认可疑进程 PID USER PR NI VIR...
linux清除xmrig挖矿病毒
最新发布
07-22
Linux系统上清除XMRig挖矿病毒通常涉及几个步骤,因为这类恶意软件可能会隐藏很深,隐藏文件或修改系统配置。以下是清理流程的一个大概指南: 1. **安全模式启动**:重启计算机并进入安全模式,这有助于防止病毒在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程还未

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值