常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量3.7w 收藏 82
点赞数 18
分类专栏: 信息安全 文章标签: 信息安全 挖矿病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31457413/article/details/98942964
版权

常见挖矿病毒处理方法

1、常见病毒
病毒名称:qW3xT:
现象:占用超高CPU,进程查杀之后自启动。
中毒案例:(……)
2、病毒名称:Ddgs.3011
现象:占用超高CPU,进程查杀之后自启动。
中毒案例:(……)
3、病毒名称:S01wipefs
现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。
中毒案例:(……)
4、病毒名称:acpidtd
现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。
中毒案例:(……)
5、病毒名称:MSFC
现象:占用超高CPU及内存,病毒源文件单一,较容易查杀。
中毒案例:(……)

2、中毒基本现象
系统CPU占用接近100%;
在这里插入图片描述
系统卡顿,执行基本命令响应缓慢;
系统出现异常进程,无法正常kill;
在这里插入图片描述
系统内存异常,占用不稳定。
在这里插入图片描述
3、基本分析过程
检查是否存在占用CPU较高的进程:
命令:ps –aux|sort –rn –k +3 |head
在这里插入图片描述
检查是否存在占用内存较高的进程:
命令:ps –aux|sort –rn –k +4 |head
在这里插入图片描述
检查是否有异常定时任务:
命令:Crontab -l
检查是否有异常自启服务:
命令:ll /etc/rc.d/init.d
Cat /etc/rc.local
检查是否有异常登录记录:
命令:last –a
4、病毒传播及生存原理
通过ssh暴力破解,U盘等物理介质,sql注入等形式将病毒源文件传播到服务器中,并以脚本,定时任务,自启动服务形式,执行挖矿程序,且kill之后能够再次启动。
如下:
在这里插入图片描述
5、处理过程
以上涉及的所有病毒,基本上都可以通过以上方法定位,并通过以下步骤进行处理:
1)top 检查可疑进程,pkill 杀死进程,如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.lcoal
2)找到可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除即可。
3)查看/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改。
4)在防火墙关闭不必要的映射端口号,重启再测试是否还会有可疑进程存在。
以上提及的所有病毒查杀方法如下附件:

6、结果验证
系统资源占用恢复正常:
在这里插入图片描述
无病毒相关进程:
在这里插入图片描述
系统使用恢复正常,无明显卡顿:
不再自动生成异常定时任务:
在这里插入图片描述
在/etc/rc* 这些目录下,没有病毒相关异常文件:
在这里插入图片描述
7、基本防护
1、建议配置login.defs文件。具体可参考如下:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
FAIL_DELAY 10
2、配置pam.d/system-auth文件,具体可参考如下:
account required /lib/security/pam_tally.so deny=5 no magic_root reset。
password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8
3、建议创建其他管理账号,禁用root账号远程管理;
4、建议使用chmod命令修改rc3.d等文件权限,满足配置文件权限不能大于644,可执行文件不能大于755的原则。
5、建议系统部署支持统一管理的恶意代码防范软件,定期对服务器操作系统进行恶意代码扫描。
7、建议限制登录终端的操作超时锁定时间,具体可参考如下:
配置/etc/profile文件,添加TMOUT=300,超时退出参数。
8、配置 /etc/hosts.deny和/etc/hosts.allow文件,限制终端登陆地址范围
针对每种病毒的特性,也有相应的防护方法,具体请参照以下内容防护部分。

story-xu
关注
  • 18
    点赞
  • 82
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应急响应:挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
[kthreaddi]挖矿病毒处理,终于解决了!
热门推荐
weixin_41599103的博客
04-02 1万+
云服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其中一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1165
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4671
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1751
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
针对挖矿病毒的简易三板斧
MSB_WLAQ的博客
09-30 1264
一. 简介 本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。 二. 实现过程(研究内容) 以linux系统为例,对中毒主机进行断网隔离后,查找挖矿病毒的基本操作: 1寻找进程,使用命令:Top 2删除进程,使用命令:kill -i PID 3删除文件,使用命令:rm -rf 后续处理:溯源分析,修补漏洞,安全加固 三. 检测方式(防御建议) 挖矿病毒特征:最大的特征就是主机的cpu资源占用,可
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 2947
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
记一次解决挖矿病毒的过程(sysupdate、networkservice)
p312011150的博客
07-07 3074
对于挖矿病毒,我们如何发现它呢?其实有个很显然的问题,挖矿病毒会超级占用cpu,当你发现你的服务器变的很卡的时候,这时候,可能就是挖矿病毒或者其他病毒正在攻击你的服务器。 我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。 一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正..
kerberods挖矿病毒查杀及分析(crontab 挖矿 curl -fsSL https://pastebin.com/raw)
weixin_41799483的博客
12-03 3058
https://blog.csdn.net/u010457406/article/details/89328869
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 979
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程, 3
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7326
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
记一次挖矿病毒的清除,欢迎来讨论
CSDNyingying的博客
01-26 1802
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
Linux Centos qW3xT.4 病毒解决过程
KyrieCao的博客
11-25 1154
前言 这些天在用Xshell连接阿里云服务器出现了卡顿现象,由于Linux不太熟悉,就是网上查找原因,说什么是Xshll的问题,后来看到有人说CPU占用过高问题,果然没错是CPU占用率过高的原因。 看图 首先看到这个qW3xT.4这个进程,CPU占用99.9%这就有点气,这是个什么东西,直接kill -9 13645瞬间感觉活过来,特别流畅,结果过了一会这个东西又出来了。完全蒙蔽。然后就各种百...
一次完美彻底的挖矿病毒清理记录,快学起来
qq_42483521的博客
02-09 6792
文章记录服务器中挖矿病毒后的发现与清理思路,通过一步步操作流程为用户提供清理服务器病毒的参考。
挖矿病毒清除记录
weixin_34174422的博客
04-10 6187
转载地址:https://www.52pojie.cn/thread-864849-1-1.html?tdsourcetag=s_pctim_aiomsg起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了挖矿病毒,CPU长期占用100%。登录服务器后,首先使用Top命令,查看CPU占用。发现CPU占用率达到100%,可是却没有相关占用高的进程。想...
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4273
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
清除Linux挖矿病毒
三少
03-21 1993
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
清除wnTKYg 这个挖矿工木马的过程讲述
qq_35562664的博客
11-23 310
转载注明出处:http://blog.sina.com.cn/pastlifezhangchilde  杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。      由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的
Centos qW3xT.2 挖矿病毒
BraveHeart
09-12 590
亲测,管用! https://blog.csdn.net/yitian_66/article/details/81304681
qW3xT.5 记一次解决挖矿病毒
qq_33129875的博客
01-30 1109
两个月前被4.0版本搞过,没想到又被搞了一次,版本变成5.0了。 原因的话可能是redis没有设置IP限制,当时我自己搞了个玩,我设的是0.0.0.0.  em~~,就是这个东西。 解决办法的话:简单直接点 1,删定时任务:crontab -l,如下图,就是这个东西,然后crontab -r删掉 2, 删相关文件: (1)改目录下有个root文件,删掉。 (2)然后把/t...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值