常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)

最新推荐文章于 2025-08-11 09:59:53 发布
原创 最新推荐文章于 2025-08-11 09:59:53 发布 · 3.9w 阅读 · 82 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#信息安全 #挖矿病毒

本文详细介绍了五种常见挖矿病毒及其处理方法,包括qW3xT、Ddgs.3011、S01wipefs、acpidtd和MSFC。提供了病毒现象分析、传播原理、处理步骤及系统防护措施,帮助读者有效应对挖矿病毒攻击。

常见挖矿病毒处理方法

1、常见病毒
病毒名称:qW3xT:
现象:占用超高CPU,进程查杀之后自启动。
中毒案例:(……)
2、病毒名称:Ddgs.3011
现象:占用超高CPU,进程查杀之后自启动。
中毒案例:(……)
3、病毒名称:S01wipefs
现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。
中毒案例:(……)
4、病毒名称:acpidtd
现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。
中毒案例:(……)
5、病毒名称:MSFC
现象:占用超高CPU及内存,病毒源文件单一,较容易查杀。
中毒案例:(……)

2、中毒基本现象
系统CPU占用接近100%;
在这里插入图片描述
系统卡顿,执行基本命令响应缓慢;
系统出现异常进程,无法正常kill;
在这里插入图片描述
系统内存异常,占用不稳定。
在这里插入图片描述
3、基本分析过程
检查是否存在占用CPU较高的进程:
命令:ps –aux|sort –rn –k +3 |head
在这里插入图片描述
检查是否存在占用内存较高的进程:
命令:ps –aux|sort –rn –k +4 |head
在这里插入图片描述
检查是否有异常定时任务:
命令:Crontab -l
检查是否有异常自启服务:
命令:ll /etc/rc.d/init.d
Cat /etc/rc.local
检查是否有异常登录记录:
命令:last –a
4、病毒传播及生存原理
通过ssh暴力破解,U盘等物理介质,sql注入等形式将病毒源文件传播到服务器中,并以脚本,定时任务,自启动服务形式,执行挖矿程序,且kill之后能够再次启动。
如下:
在这里插入图片描述
5、处理过程
以上涉及的所有病毒,基本上都可以通过以上方法定位,并通过以下步骤进行处理:
1)top 检查可疑进程,pkill 杀死进程,如果进程还能存在,说明一定有定时任务或守护进程(开机启动),检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.lcoal
2)找到可疑程序的位置将其删除,如果删除不掉,查看隐藏权限。lsattr chattr 修改权限后将其删除即可。
3)查看/root/.ssh/目录下是否设置了免秘钥登陆,并查看ssh_config配置文件是否被篡改。
4)在防火墙关闭不必要的映射端口号,重启再测试是否还会有可疑进程存在。
以上提及的所有病毒查杀方法如下附件:

6、结果验证
系统资源占用恢复正常:
在这里插入图片描述
无病毒相关进程:
在这里插入图片描述
系统使用恢复正常,无明显卡顿:
不再自动生成异常定时任务:
在这里插入图片描述
在/etc/rc* 这些目录下,没有病毒相关异常文件:
在这里插入图片描述
7、基本防护
1、建议配置login.defs文件。具体可参考如下:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 8
PASS_WARN_AGE 7
FAIL_DELAY 10
2、配置pam.d/system-auth文件,具体可参考如下:
account required /lib/security/pam_tally.so deny=5 no magic_root reset。
password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8
3、建议创建其他管理账号,禁用root账号远程管理;
4、建议使用chmod命令修改rc3.d等文件权限,满足配置文件权限不能大于644,可执行文件不能大于755的原则。
5、建议系统部署支持统一管理的恶意代码防范软件,定期对服务器操作系统进行恶意代码扫描。
7、建议限制登录终端的操作超时锁定时间,具体可参考如下:
配置/etc/profile文件,添加TMOUT=300,超时退出参数。
8、配置 /etc/hosts.deny和/etc/hosts.allow文件,限制终端登陆地址范围
针对每种病毒的特性,也有相应的防护方法,具体请参照以下内容防护部分。

《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
Window应急响应(四):挖矿病毒
08-05 5528
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
搞懂比特币系列之——挖矿是什么
最新发布
Chuan_pu的博客
08-11 1260
比特币中的挖矿到底是什么
服务器中了挖矿病毒的检测及删除方法
penriver的博客
12-13 9052
本文提供了服务器中了挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
挖矿病毒处理
qq_29415357的博客
05-30 514
挖矿病毒处理命令 查看动态任务状况 top 查看病毒进程 ps -ef |grep kdevtmpfsi ps -ef |grep kinsing 查看异常ip和端口 netstat -natp |grep 查找异常文件 find / -name kdevtmpfsi find / -name kinsing 看看有哪些异常的docker镜像 /var/lib/docker/overlay2/3d08459e1c8ed846432961e87ab0e6f82e17749342696997
挖矿病毒的处置,从零基础到精通,收藏这篇就够了!
Libra1313的博客
01-11 1354
在云容器当中,最为著名的是 Docker Hub 公共容器镜像仓库,黑产团伙利用Docker Hub上传恶意挖矿镜像,污染容器镜像,当用户下载执行镜像时,将导致其docker主机被感染,攻击者还会通过容器服务器的漏洞传播蠕虫病毒,以尽可能地感染更多的docker主机,并执行挖矿程序进行牟利。当有挖矿告警时,首先需要查看挖矿告警确定挖矿连接的域名或IP,同时观察访问挖矿IOC的频率是多少(基本信息收集),接着通过威胁情报确定挖矿的家族,可以为后续的溯源分析做准备。如果有不一致的地方,就会显示出来。
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7709
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2742
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,不加-n按字符串大小
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 8382
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 1061
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
ddgs.rar_vc6编写游戏
09-21
3. **游戏循环**:游戏的核心是游戏循环,也称为主循环。它不断地处理输入、更新游戏状态、渲染屏幕,并确保游戏的流畅运行。 4. **事件处理**:游戏中的事件处理涉及键盘、鼠标输入以及定时器事件。了解如何监听和...
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 1149
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程, 3
挖矿病毒应急处置
2301_77977773的博客
07-22 2449
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
挖矿病毒处理
AI全栈 和 IT 编程相关分享
10-24 2316
挖矿病毒处理
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 5387
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
挖矿病毒解决
qq_37313531的博客
03-23 8102
1、进程 cpu 100% watchdog 2、解决 /tmp netstat(矿池、鱼池、sup)进程,文件主程序 crontab -l 计划任务 分析脚本 3、如何进来的? web日志、log4j、命令、漏洞:docker yam fastjiosn、邮件、下载恶意软件(doc、rar、恶意源、docker、wget) 4、定位 如何传播:蠕虫、ssh弱口令、内网ip探测工具、大量exp、Linux本身免密登陆、root高权限程序劫持、sodo 5、解决措施 下载样本、分析样
挖矿病毒清理记录(隐藏进程处理
深耕AI领域,专注中、高人工智能领域发展;同步研究电磁学及超导材料、量子力学;关注能源发展和技术,同时进行医学创新
05-21 870
top命令查看cpu总占用率已超50%,但单独的进程加起来未超10%,怀疑有隐藏进程。监控一段时间后,发现CPU占用率恢复到正常水平,异常进程也未启动。在ecs中配置出访拒绝该ip出访请求。发现有异常进程CPU占用率近50%阿里云ECS报CPU预警。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 3510
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
F:\anaconda\envs\airsim3\python.exe F:/AirSim/pythoncode/aircode/trysmol.py Loading checkpoint shards: 100%|██████████| 5/5 [00:10<00:00, 2.20s/it] The image processor of type `Qwen2VLImageProcessor` is now loaded as a fast processor by default, even if the model checkpoint was saved with a slow processor. This is a breaking change and may produce slightly different outputs. To continue using the slow processor, instantiate this class with `use_fast=False`. Note that this behavior will be extended to all models in a future release. You have video processor config saved in `preprocessor.json` file which is deprecated. Video processor configs should be saved in their own `video_preprocessor.json` file. You can rename the file or load and save the processor back which renames it automatically. Loading from `preprocessor.json` will be removed in v5.0. F:\anaconda\envs\airsim3\lib\site-packages\smolagents\default_tools.py:135: RuntimeWarning: This package (`duckduckgo_search`) has been renamed to `ddgs`! Use `pip install ddgs` instead. self.ddgs = DDGS(**kwargs) ┌────────────────────────────────── New run ──────────────────────────────────┐ │ │ │ Could you give me the 118th number in the Fibonacci sequence? │ │ │ └─ TransformersModel - F:/qwen/Qwen2.5-VL-7B-Instruct ────────────────────────┘ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Step 1 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ The attention mask is not set and cannot be inferred from input because pad token is same as eos token. As a consequence, you may observe unexpected behavior. Please pass your input&#39;s `attention_mask` to obtain reliable results. 如何修改上个问题的代码解决这个问题
08-02
你遇到的警告信息: ``` The attention mask is not set and cannot be inferred from input because pad token is same as eos token... ``` 是由于模型内部在处理输入时,`pad_token` 与 `eos_token` 相同,导致无法正确生成 `attention_mask`。虽然不是错误,但可能影响模型行为。为了解决这个问题,我们可以在调用模型前向传播时,**手动传入 `attention_mask`**。 --- ### ✅ 修改后的代码如下(针对你使用的 `smolagents` + `TransformersModel` 架构): ```python from smolagents import CodeAgent, TransformersModel # 自定义 TransformersModel 并确保在调用时使用 attention_mask class MyTransformersModel(TransformersModel): def __call__(self, prompt, **kwargs): # 编码输入 inputs = self.tokenizer(prompt, return_tensors="pt", padding=True, truncation=True) input_ids = inputs["input_ids"] attention_mask = inputs["attention_mask"] # 手动传入 attention_mask outputs = self.model.generate( input_ids=input_ids, attention_mask=attention_mask, max_new_tokens=4096, pad_token_id=self.tokenizer.eos_token_id ) # 解码输出 response = self.tokenizer.decode(outputs[0], skip_special_tokens=True) return response # 模型路径 model_id = "F:/qwen/Qwen2.5-VL-7B-Instruct" # 使用自定义模型 model = MyTransformersModel(model_id=model_id, use_fast=False) # 创建 agent agent = CodeAgent(tools=[], model=model, add_base_tools=True) # 运行任务 agent.run( "Could you give me the 118th number in the Fibonacci sequence?", ) ``` --- ### ✅ 关键点说明: 1. **自定义 `MyTransformersModel` 类**:重写 `__call__` 方法,确保每次调用模型时都显式传入 `attention_mask`。 2. **设置 `pad_token_id=self.tokenizer.eos_token_id`**:明确指定填充 token,避免与 `eos_token` 冲突。 3. **使用 `skip_special_tokens=True`**:去除输出中的特殊符号,提升可读性。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值