2021-10-03 小黑与挖矿木马程序的斗智斗勇

最新推荐文章于 2024-05-06 19:11:01 发布
最新推荐文章于 2024-05-06 19:11:01 发布
阅读量3.6k 收藏 1
点赞数 1
文章标签: linux centos 服务器 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29426863/article/details/120596062
版权

发现木马程序

小黑在一个寂寥的午后打算登陆云服务写点程序放上去。偶然瞥到finallshell监控栏cup使用率飙到了100%。如下图所示,回想起几天前云助手给发送的报警信息,意识到自己的服务器应该是被植入了木马程序。经过求助度娘,了解到自己的服务器被人植入了挖矿的木马程序,作为一个程序员,这还能忍?必须盘它。
在这里插入图片描述

解决过程

  1. 看到cpu利用率被占满,首先想到是要排查是哪些进程占满了cup。使用top命令查找cup占用率最高的几个进程。可以查到进程的PID、COMMAND等信息。可以发现有个xmrigMiner相关进程占据了cpu利用率的一半。搜了一下xmrigMiner相关信息,了解到这应该是个挖矿程序。
    在这里插入图片描述 2. 再利用whereis xmrigMiner命令查找是否有相关的文件夹,很遗憾,并没有。
    在这里插入图片描述

  2. 利用ls -l /proc/$PID/exe命令根据PID查找文件夹(由于在解决过程中不断试错,中间丢失了一些截图,第一步中PID为554是之前的截图,我们本次的PID为15049,之前的截图丢失了)。
    在这里插入图片描述

  3. cd到文件夹中,发现确实有很多xmrig开头的文件。用tail命令查看一下xmrigMiner里边的内容,一堆乱码。反正确认都是木马文件了就直接删了。
    在这里插入图片描述
    还有个config.sh脚本。使用cat命令查看一下,应该是木马程序的执行脚本。删之。在这里插入图片描述

  4. 依次查看目录下其他文件的内容决定是否要删除,最后重启服务器,解决。

在这里插入图片描述

参考资料
[1]: https://blog.csdn.net/u012978507/article/details/111867154

任小黑
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 1775
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
商业编程-源码-小黑流量统计系统 v1.0 修改版.zip
06-23
商业编程-源码-小黑流量统计系统 v1.0 修改版.zip
记一次清理挖矿病毒的过程
邓邓子的博客
07-05 694
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
xmrig挖矿病毒解决
yuguang的博客
11-20 1万+
1、问题排查显示 1.1服务器中情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3350
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本中进行修改的 PermitRootLogin、R.
记一次挖矿病毒的应急响应
weixin_45885440的博客
03-30 1868
记一次挖矿病毒的应急响应
菜鸟的linux服务器第一次木马入侵处理记录(名为xmrigMiner的木马)
weixin_48713918的博客
04-01 2019
遇到木马入侵linux自查自删过程。 查了一下后台,是这个样子 显示的是cpu与内存占用极高,不停有写入操作大写的懵逼,第一反应是先关机 但是没屁用,cpu与内存占用居高不下 我处理的主要过程如下 kill进程没用,还会重新启动。查了半天资料,说是让我看看启用命令 卧槽,真的有 大概是我用的redis安装包有问题赶快启用删除全部定时任务命令 再次查询,就查不到这个定时任务了但是占用率还是居高不下,kill不掉用top命令查看进程状况 就是这个流氓程序,一直占着, 用kill命令,后面的2988
网络安全-挖矿病毒XMrig miner
L120305q的博客
04-05 677
挖矿病毒XMrig miner
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 5683
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
Xilinx_FPGA.rar_ISE 10_gt-itm
09-19
介绍了FPGA设计全流程:Modelsim>>Synplify.Pro>>ISE
MK matlab程序.zip_MK_MK-matlab程序_mk excel
09-22
MK分析,采用matlab,亲测可用,但是需要在同个文件夹建立相应需要的Excel表
Newmark-Beta.rar_MATLAB程序_Newmark-_beta_newmark_计算Newmark-beta
07-15
计算Newmark-beta法的matlab程序
FIFO.rar_ FIFO_fifo_fifo-ram_vhdl can_测试程序
07-14
verilog开发的FIFO,经过验证,有完整版本的测试程序,经典之作
linux下的调试工具gdb的详细使用介绍
qq_75270497的博客
05-06 497
详细介绍在linux下使用gdb的方法,每个步骤都举例说明,适合复习和新手入门,希望能为能够帮助到大家。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 436
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Linux 第十八章
一怀明月的博客
05-01 1265
程序地址空间 区间的地址分布 真正理解同一个地址进行读取不同内容 地址空间 虚拟地址和物理地址 虚拟地址: 物理地址: struct mm_struct 页表
Linux】冯·诺依曼体系结构
最新发布
2201_76024104的博客
05-06 257
因为我们的操作系统就是一个软件,它可以用来管理内存,操作系统写的好不好,就决定了计算机的效率高不高。从你的键盘到内存再到CPU,CPU中要对信息进行一些处理,最简单的要加上发送的时间,人物等,然后在经过内存到网卡,通过网络到你朋友的网卡,再到内存到CPU,要对收到的信息进行分析,再到内存再到显示器上。了,因为我们的CPU可以做的非常快,而数据之间的拷贝是远不如CPU的处理速度快的。越靠上,离CPU越近,就是直接和CPU交换数据,效率越高,但是造价越高,容量越小。,让我们更多人使用,这也是内存的意义。
v-for 小黑的书架
04-12
对于小黑的书架,如果我们有一个书籍列表的数组,可以使用 v-for 指令来循环渲染每本书的信息。具体的实现方式如下: 1. 在 Vue 实例中定义一个书籍列表的数组,例如 books。 2. 在模板中使用 v-for 指令来循环遍历...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值