linux服务器被植入挖矿病毒后初步解决方案

已于 2022-07-22 13:48:09 修改
阅读量3.7k 收藏 6
点赞数 2
文章标签: linux 服务器 运维
于 2022-07-22 13:41:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24274689/article/details/125930345
版权

linux服务器被植入挖矿病毒是真让人无语,密码也被暴力破解,还时不时挖矿重启。
在这里插入图片描述

只能上网搜索,初步解决方案如下:

一、定位攻击服务器的ip

首先root,然后进~/.cache,使用netstat 命令查看访问的历史ip,查看是否有可疑

$ netstat -antlp

发现一个非常用的ip的访问
在这里插入图片描述

二、禁用该ip段的访问

使用ufw禁用该ip段的访问,并且添加自己实验室ip的白名单(感觉重复了)

$ ufw deny from 10.12.11.0/24
$ ufw allow from 10.12.49.0/24
$ ufw allow from 10.12.43.0/24

之后重启下防火墙,并查看规则是否激活

$ ufw reload
$ ufw status numbered

在这里插入图片描述

三、禁用挖矿程序的自启

使用crontab查看所有用户下的自启程序

$ cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

在这里插入图片描述
因为是root账户被植入了自启程序,直接删除该自启程序

$ crontab -r

之后再次查看时候还有自启程序

$ crontab -l

在这里插入图片描述

四、终止并删除挖矿程序

使用top查看挖矿程序的PID为1557,那么使用kill -9 1557 强制关闭程序
在这里插入图片描述

之前定位了~/.cache下的Python文件夹,因此进入~/.cache直接删除

$ cd ~/.cache
$ rm -rf Python

五、总结

至此,挖矿程序的关闭删除和防御告一段落,能否起效只能等待时间的考验,很想对着这个可疑ip查查到底是谁干的,但是考虑到ip可能是跳板机,就算是真人也并不会承认,还是尽量做好被动防御吧~

ssqu00
关注
网站被植入Webshell的解决方案.docx
10-26
网站被植入Webshell的解决方案.docx
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5071
linux挖矿病毒已解决
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2912
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 614
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3804
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1449
Linux处理挖矿病毒
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 1946
记一次Liunx挖矿应急处置流程
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1818
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linux挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 3073
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细记录了病毒的原理和查杀记录
网络病毒定位防护全流程解决方案.pdf
10-13
解决方案旨在提供一个详尽的流程,以帮助组织有效应对网络病毒带来的风险,确保数据安全和业务连续性。 一、面临的风险 1. 漏洞利用:网络病毒通常通过系统或应用程序的漏洞进行传播,一旦攻击者找到并利用这些...
网络病毒定位防护全流程解决方案.pptx
10-13
这份名为“网络病毒定位防护全流程解决方案”的PPT文档,旨在提供一套全面的策略来应对网络病毒带来的风险,并确保系统的稳定与安全。 首先,我们需要了解网络病毒定位防护所面临的各种风险。这些风险包括但不限于...
用于个性化医疗器械的图像到植入解决方案.pdf
01-18
用于个性化医疗器械的图像到植入解决方案.pdf
基于云平台的linux服务器搭建探究.pdf
09-06
1. 强大的开发功能,几乎所有的主流程序语言都能够顺利的植入Linux服务器上,并能力免费得到和使用。 2. 能够在软件平台上运行,能够在许多硬件平台上运行,如超级计算机、台式计算机、游戏主机、平板电脑、手机等...
linux解决挖矿病毒
qianjiu520的博客
05-30 807
linux解决挖矿病毒
应急响应-linux挖矿病毒的实战处置
告白的博客
08-06 1206
将该文件上传沙箱检测,确定为木马程序,且为内容存在条件竞争,且调用多种终端,行为非常正常文件,在Linux系统中查找并终止与指定关键词相关的进程。查询初次访问config.jsp后门程序的时间,同时观察到在该木马文件访问的前几次,攻击者成功访问了st2框架的.sction页面,疑似通过st2漏洞进入并植入木马,后通过模拟攻击者行为证实改主机存在st2漏洞。初步分析得知,该主机通过web服务被入侵,攻击者通过st2漏洞植入木马,获取web权限后植入挖矿木马文件,并设置定时任务。
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7051
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
解决阿里云服务器植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 4266
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个记录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单记录了处理服务器挖矿的流程,记录的不全面,欢迎各路大神探讨交流。
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2936
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
记·Linux挖矿病毒应急响应
chongya927的博客
03-01 2000
Linux挖矿病毒应急响应
Siemens PLM软件推动个性化医疗器械:图像到植入物自动化解决方案
本文档标题为《用于个性化医疗器械的图像到植入解决方案》, 主要探讨的是医疗保健领域中的一项创新技术,即如何通过图像处理和 Siemens PLM 软件的解决方案,实现医疗器械的个性化制造。在这个过程中,重点在于将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值