Linux服务器发现挖矿程序清除办法

已于 2024-01-16 21:25:12 修改
阅读量2.3k 收藏 2
点赞数
分类专栏: Linux 文章标签: Linux
于 2019-06-17 10:25:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33820379/article/details/92575103
版权

今天遇到服务器被别人攻击,发现网上查询是挖矿程序,紧急处理步骤如下:

1.查看目录是否有/tmp或者/temp可疑文件,删除文件,如果文件不是可删除的则使用chmod,如果chmod不行,查看llattr /tmp ,

带i是无法删除的,chattr -i 文件或者目录名字

执行以下命令移除i:chattr -i kthrotlds name php systemd .systemd-analyze .systemd-login thisxxs watchdogs xc.x86_64

然后即可删除

2.top查看是否有占用cpu比较大的进程,kill -9 pid 杀死进程

3.杀死后可能一会又出现了进程,则查看vim /var/spool/cron/root  是否有计划任务,删除它,wq

qq_33820379
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux——挖矿程序处理
sunfragrence的博客
12-12 3608
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1055
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户记录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
Linux下CPU1000%记一次挖矿病毒清理流程
最新发布
05-29 427
今天top后发现一个进程CPU高1795%,判断是病毒。
Linux挖矿程序清除
延成的博客
09-01 797
【代码】Linux挖矿程序清除
linux处理挖矿
weixin_38689747的博客
05-31 33
处理挖矿病毒 1清tmp的执行文件 2清ssh无密登录 3清bin下的执行文件 etc 4清软链 5清守护进程 6清理crontab 参考 https://cloud.tencent.com/developer/article/1929179
清除阿里云服务器挖矿程序过程
shuizhongmose的专栏
04-02 2777
历时一天阿里云ECS服务器清除挖矿程序过程
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件_应急dw
m0_61418075的博客
04-09 887
​2)找不到-bash的原因上面的脚本将/bin/initdr拷贝到/bin/-bash,执行他后删除,并且所有的操作都将操作记录写给了null,隐藏了他在系统内的踪迹,更加确定了我的想法,绝壁是被当矿机了。我们用vim打开这个sysdrr文件,发现里面全是乱码,说明这还不是一个简单的文本脚本文件。grep -r 命令的使用也比较简单,只需在命令行中输入grep -r 后面加上要搜索的字符就可以完成搜索,例如:grep -r ‘hello’ 就可以搜索文件中包含hello字符的文件。
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6062
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3608
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux处理kdevtmpfsi,kswapd0(挖矿病毒清除
bluesease的博客
12-12 2942
kdevtmpfsi,kswapd0挖矿病毒问题处理
liunx挖矿程序排查思路
凯歌响起的博客
10-23 2094
最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下:安全告警邮件。
java上传文件到linux服务器,操作linux服务器上文件,下载linux服务器文件,删除linux服务器文件
08-10
在IT行业中,尤其是在Java开发领域,与Linux服务器的交互是一项重要的技能。本篇文章将深入探讨如何使用Java来实现对Linux服务器的文件上传、操作、下载和删除,以及如何借助ganymed-ssh2库实现远程操作。 首先,让...
Linux服务器配置与管理:Linux环境搭建.pptx
05-01
掌握: Linux环境搭建 【能力目标】 能够通过VMware搭建linux运行环境。 【思政目标】 提升学生工程实践能力,培养工匠精神。 1. VMware软件安装 VMWare (Virtual Machine ware)是一个虚拟机软件,它可以在一台物理...
bat脚本实现上传文件至Linux服务器
04-15
bat脚本实现将Windows文件上传至Linux服务器 不同选项实现具体功能、检查资源存在 、 确认上传
用Python脚本实现对Linux服务器的监控
02-03
sync(文件系统安全监控软件)、glances(资源监控工具)在实际工作中,Linux系统管理员可以根据自己使用的服务器的具体情况编写一下简单实用的脚本实现对Linux服务器的监控。本文介绍一下使用Python脚本实现对Linux...
java获取linux服务器上的IP操作
08-24
Java获取Linux服务器上的IP操作 Java获取Linux服务器上的IP操作是Java开发中的一项重要任务。然而,在Linux服务器上获取IP地址却存在一些问题。在本文中,我们将详细介绍Java获取Linux服务器上的IP操作,包括Linux...
linux挖矿的清理工具,Linux挖矿病毒的清除与分析
weixin_36372610的博客
05-06 2293
文章目录起因清除过程确定病因开始清除复发定时任务update.sh分析修复样本分析:networkservice文件的分析分析准备功能分析sysguard样本下载*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:xuing,本文属于林哲博客原创奖励计划,未经许可禁止转载起因舍友在宿舍喊着,这服务器好卡啊,难受啊!我调...
linux服务器看门狗服务,服务器watchdog看门狗的理解
weixin_34614674的博客
05-03 3483
1.什么是watchdog?watchdog,中文名称叫做“看门狗”,全称watchdogtimer,从字面上我们可以知道其实它属于一种定时器。然而它与我们平常所接触的定时器在作用上又有所不同。普通的定时器一般起记时作用,记时超时(TimerOut)则引起一个中断,例如触发一个系统时钟中断。熟悉windows开发的朋友应该用过windows的Timer,windowsTimer的作用与方才所...
Linux服务器配置全程实录.docx
02-23
Samba不仅提供文件共享,还可以作为打印机服务器,允许Windows客户端发现并打印到连接到Linux服务器的打印机。配置打印机共享涉及设置CUPS(Common Unix Printing System)和Samba的打印机驱动。 总结,Linux服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值