记一次Linux挖矿程序解决经历

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量3.7k 收藏 6
点赞数 1
分类专栏: Linux 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37171817/article/details/108401938
版权

注意:线上当时没截图,以下截图均为解决问题后截取的。

使用top命令可看到CPU使用180%~200%。

$ top


使用free -m 查看内存使用情况,此时内存并没多少占用。

$ free -m


系统符合被挖矿特征,同时阿里云控制台也检测到疑似被挖矿程序入侵。
首先通过top命令可以查看到进程的pid:

在这里插入图片描述
可以通过ls -l /proc/xxx/exe命令查找到进程对应资源的位置,xxx表示进程的pid。

# xxx为pid
$ ls -l /proc/xxx/exe

在这里插入图片描述
查找到文件位置之后,就可以kill掉问题进程:

# pid为问题进程的pid
$ kill -9 pid

此时可以去对应的资源路径删除对应的资源,但是木马文件一般删除不掉,因为修改了属性。

扩展知识点:

chattr和lsattr

chattr和lsattr用来改变文件、目录属性和查看这种文件属性;chmod只是改变文件的读、写、执行权限,更底层的属性控制是由chattr来改变。

文件隐藏属性
  • a:即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性。
  • c:即compresse,设定文件是否经压缩后再存储。读取时需要经过自动解压操作。
  • d:即no dump,设定文件不能成为dump程序的备份目标。
  • i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。
  • j:即journal,设定此参数使得当通过mount参数:data=ordered 或者 data=writeback 挂 载的文件系统,文件在写入时会先被记录(在journal中)。如果filesystem被设定参数为 data=journal,则该参数自动失效。
  • s:保密性地删除文件或目录,即硬盘空间被全部收回。
  • u:与s相反,当设定为u时,数据内容其实还存在磁盘中,可以用于undeletion。

此时通过lsattr命令查看文件权限:

# fileName为文件名称
$ lsattr fileName


这个是正常的文件,当时病毒文件还有a、i属性,所以不能直接使用他们rm -rf删除。

如下图:

删除文件前必须先需要去除a、i属性,所以使用chattr命令去除属性。

# fileName为文件名称
$ chattr -a fileName
$ chattr -i fileName

但此时很意外,居然提示:

在这里插入图片描述
刚开始还以为是真的权限不足,到处去查权限,走了不少弯路。后台才发现,这病毒作者真狗!

查看chattr位置:

$ whereis chattr

在这里插入图片描述
查看文件内容:

$ cat /usr/bin/chattr


!!!
知道这作者有多那啥了吧。后来找到另外一个正常系统的chattr文件,想把正常内容替换到病毒文件中。
但是!chattr文件也被设置了a、i隐藏属性!这…这不是套娃了嘛。
再后来将正常的chattr文件重命名为chattrNew,复制到问题系统的/usr/bin/中,再使用

$ chattrNew -a chattr
$ chattrNew -i chattr

就可以删除chattr文件了,

$ rm -rf /usr/bin/chattr

然后再将chattrNew文件重命名为chattr:

$ mv /usr/bin/chattrNew /usr/bin/chattr

现在,chattr命令就可以正常使用了!

再使用chattr命令去掉病毒文件的a、i属性:

$ chattr -a fileName
$ chattr -i fileName

现在就可以删除病毒文件了!大功告成!

一半@java
关注
专栏目录
【系统架构设计师-2020年】综合知识-答案及详解
数据知道的博客
09-02 3880
前趋图(Precedence Graph)是一个有向无环图,为:→={(Pi,Pj)|Pi must complete before Pj may start} 。假设系统中进程P={P1,P2,P3,P4,P5,P6,P7},且进程的前趋图如下: 那么, 该前驱图可为 ( )。 答案解析正确答案: B在支持多线程的操作系统中,假设进程P创建了线程T1、T2和T3,那么下列说法正确的是( )。 答案解析正确答案: C假设某计算机的字长为32位,该计算机文件管理系统磁盘空间管理采用位示图(bitmap)
linux cpu飙高到100%----中了挖矿程序
Qfoom的博客
11-25 1480
感谢:简书SilentBillows 一 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlibrary /]# top top - 10:56:10 up 15 min, 1 user, load average: 7.28, 7.24, 4.90 Tasks: 209 total, 5 running, 204 sleeping, 0 stopped, 0 zombie %Cpu(s): 96.5 us, 3.5 sy, 0.0 ni, 0.0 i
linux 处理挖矿
an74520的专栏
04-07 1380
查看crontab watch crontab -l 发现有定时脚本 以下是脚本内容 删除crontab挖矿脚本配置,并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 699
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2955
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
Linux挖矿程序清除
延成的博客
09-01 1171
【代码】Linux挖矿程序清除。
公司Linux服务器被非法入侵,秒变“矿机”,挖挖挖...
qq_14958051的博客
09-17 509
作者:春雪来源:http://t.cn/RnpJj2e早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘...
linux++挖矿模式,一个Linux挖矿的简单处理
weixin_42538645的博客
05-15 1371
由于平时很少接触linux的病毒现场,特意找到了一个之前处理过的现场进行复现,算是对linux命令的掌握以及对linux病毒的了解执行挖矿病毒使用top命令,站cpu占用率 可以看到PID为28842的进程占用已经为97.3%然后使用netstat -antp看网络查看网络连接 经过搜索,这两个ip都为矿池ip,到这就可以判断这是一个挖矿病毒了cd /proc/28842进入进程号目录ls -al...
一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
热门推荐
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
一次阿里云被挖矿处理
m0_61101264的博客
08-17 184
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿的脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵录)使用history。
区块链在电子病历存储的应用(总结一)
LanceJerry的博客
12-15 5322
区块链在电子病历存储的应用 电子病历 概念 电子病历通常用电子设备(计算机、健康卡等)保存、管理、传输和重现的数字化的医疗录,用以取代手写纸张病历,其内容包括纸张病历的所有信息。 ...
【渗透应急溯源经验篇】网络安全面试
大河之犬的博客
05-17 3094
5、我们发现一个攻击(如平台登录后的SQL注入)可以通过流量回溯装置抓取那个被登录用户的用户名和密码,登录平台后自己利用发现的payload进行尝试,看是否能注入成功。如果一个数据包非常大,几个G或者一个G,我们就考虑数据包是否进行了重传,然后查看数据包的重传数,打个比方就是刷新,如果短时间重传数非常多,就为机器操作,判定为攻击。SMB,SSH,MSSQL,MySQL等协议比较多,看包的大小,成功登陆的包很大。3、确定数据流,攻击的数据流我们是要看HTTP,TCP,还是ssh。
Linux基础命令-chattr更改文件隐藏属性
不吃羊的小灰灰博客
02-18 5837
前面了解了文件的权限和特殊权限,今天讲一下chattr这个命令,主要是用来更改文件隐藏属性,下面一起来看下。chattr命令来自于英文词组“chang attribute”的缩写,其功能是用于更改文件隐藏属性。常用的ls命令仅能能够查看到文件的一般权限、特殊权限、SELinux安全上下文与是否有FACL访问控制列表的情况,且无法查看到文件隐藏属性。chattr命令修改文件和目录的隐藏属性,要查看文件是否设置了隐藏属性是使用latter命令去查看的,使用起来也比较简单;
linux中/proc/*的简介
@_囚徒-2018_的家园
03-22 726
1. /proc目录其实是一个虚拟的文件系统,因此该目录下中的所有文件都不会消耗磁盘空间。消耗的内存空间。文件是占用内存的空间。 2. 虚拟文件系统/proc中的虚拟文件有两种作用: (1)向用户呈现内核中的信息(信息输出) (2)也可以作为一种从用户空间向内核发送信息的手段(信息输入) 3./proc的现实作用 (1)像pstree,ps,top等这样的工具其实就是
Linux一次服务器被挖矿(lambsys和procq)
Purepil的博客
05-26 732
周五凌晨一台测试服务器被挖矿了,根据挖矿进程相关的文件lambsys和procq搜索没有搜到相关的东西,也是弄了好久。没想到第二天又有一台服务器被挖了,因此录一下。注意:只针对该种挖矿,且治标不治本。如果知道如何入侵的,希望能告知top -c显示进程和占用top -c。
Linux chattr锁定关键的系统文件
CSDNYXJY的博客
04-17 473
我们通过chattr来锁定一个文件为不可修改或不可删除时,要用到chattr的+i数;这在ext2和ext3文件系统是有效的,但在reiserfs文件系统是没有任何效果的; 8种模式: a:让文件或目录仅供附加用途。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:将文件或目录排除在倾倒操作之外。 i:不得任意更动文件或目录。 s:保密性删除文件或目录。 S:即时更新文件或目录。 u:预防以外删除。 语法: chattr [-RV][-v<版本编号>][+/-/=&lt
/proc详解--linux man page
逆风飞扬
07-05 5130
proc(5) - Linux man page Name proc - process information pseudo-file system Description The proc file system is a pseudo-file system which is used as an interface to kernel data structures. It is
取当前进程对应之静态映像文件的绝对路径/proc/self/exe
01-14 1611
提供一个linux  advanced programming 上的得到绝对路径目录的函数: char* get_self_executable_directory () {   int rval;   char link_target[1024];//目标地址   char* last_slash;   size_t result_length;//结果的长度   char* re
Linux服务器被挖矿解决办法
qq_40939094的博客
01-08 2683
一次Linux服务器被挖矿经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
linux 被入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值