解决挖矿病毒占用高cpu(sysupdate、networkservice)

最新推荐文章于 2024-06-04 13:38:41 发布
最新推荐文章于 2024-06-04 13:38:41 发布
阅读量5.1k 收藏 10
点赞数 9
分类专栏: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37674858/article/details/105250304
版权

我也是有一段时间服务器变的很卡,那时我还以为是我自己的软件装太多导致的问题,不看不知道,看了吓一跳,服务器已经被攻击了,接下来,我来分享下如何查找和解决这个病毒。

一、找出病毒

当发现服务器卡的时候,我们可以采用top命令,如下显示

 

image.png

我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢?

1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。
2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程,
3、每个进程的cpu占用都比较小,平均差不多20%个cpu,可是这么多进程加起来,CPU占用就爆炸了,将近100%了

从上面这个地方可以发现这个攻击者很聪明,懂得用这种名称来混淆我们的视野

二、确认病毒

从上面的top命令知道了这几个占用比较大的进程号,我们可以根据其中的某个进程,比如7081入手,来查找其他关联的进程,使用以下命令,如下图所示

 

systemctl status 7801

最低0.47元/天 解锁文章
周子青
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
5、Network Service (网络服务)
diankupi3880的博客
07-20 2467
1、概述 OpenStack Networking(中子)允许您创建并附加由其他OpenStack服务管理的接口设备到网络。可以实现插件以适应不同的网络设备和软件,为OpenStack架构和部署提供灵活性。 它包括以下组件: 中子服务器接受并将API请求路由到相应的OpenStack Networking插件以进行操作。OpenStack网络插件和代理 插拔端口,创建网络或子网,...
什么是 Network Service
01-13 1644
什么是 Network Service?问:在 IIS 6 中,Web 应用程序的工作进程设置为以进程标识“Network Service”运行。在 IIS 5 中,进程外 Web 应用程序则设置为以 IWAM_ 帐户运行,这个帐户是普通的本地用户帐户。可否提供有关这个新帐户的信息,它对于安全性以及管理来说很重要吗?答:Network Service 是 Windows Server 20
解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题
xpt211314的博客
07-10 1万+
上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃。这次占用cpu的依然是一个ld-linux的进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有100+个,比不上上次,还是用上次的脚本,将test的进程也kill掉。为防止恶意添加用户,将/etc/passwd 文件里的test用户删除后,给该文件添加了隐藏权限 i ,具体功能不知道的可以查下,此处...
WannaMine4.0病毒应急处置
最新发布
2401_84466227的博客
06-04 1673
某日,通过流量监测设备和EDR发现挖矿请求告警,并存在长期445端口扫描。
Linux CPU占用率99%很被kdevtmpfsi 和kinsing 挖矿病毒入侵
小蜜蜂
02-23 3589
目录 一:警告 二:查看cup占用 三:解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4:删除掉kdevtmpfsi的相关文件 四.怎么预防处理这个病毒 一:警告 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为...
Local System/Network Service/Local Service权限详解
高兴的地方
06-30 1万+
<br />1.Local   System (本地系统):<br />该账户具有相当的权限。<br />首先,该账户也隶属于本地Administrators   用户组,因此所有本地Administrators用户能够进行的操作该账户也能够进行,<br />其次,该账户还能够控制文件的权限(NTFS   文件系统)和注册表权限,甚至占据所有者权限来取得访问资格。<br />如果机器处于域中,那么运行于Local   System   账户下的服务还可以使用机器账户在同一个森林中得到其他机器的自动认证,<
记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
热门推荐
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
一次真实的应急响应案例——篡改页面、sysupdatenetworkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
渗透模拟实战(含靶场与样本)——篡改页面、植入样本(sysupdatenetworkservice)——靶场与样本下载百度链接
03-02
模拟攻击者实战--靶机、工具、样本,亲测真实有效可用。如有侵权请联系CSDN管理员删除即可
linux CPU资源彪sysupdate, networkservice进程)
fengzhilaoling的博客
11-15 374
起因 今天起来登录服务器,命令行卡的飞起来了 是用top命令查看 发现sysupdate # 系统更新 networkservice # 网络资源 xr 应该是一个挖矿病毒 登录阿里云查看cup状态 已经很长时间了,但是并没有报警 根据进程号找到文件的位置 [root@fengling ~]# ls -l /proc/24758/exe lrwxrwxrwx 1 root root 0 11月 15 12:11 /proc/24758/exe -> /etc/sysupdate [ro
Linux网络服务(network service)管理
u013992330的博客
02-01 1万+
Linux操作系统中重新启动网络的方法: 网页链接:https://ywnz.com/linux/4463.html 1、网络管理员服务 这是使用命令行重新启动网络的最简单方法,它等同于图形化方式(重新启动Network-Manager服务)。 sudo service network-manager restart 网络图标应该消失片刻,然后重新出现。 2、systemd service命令只是此方法的包装器(也适用于init.d脚本和Upstart命令),systemctl命令比服务更通用
解决win7 中powershell挖矿占用CPU100%
这个人很懒,没有简介
04-21 2228
解决办法 将任务管理器中的powershell.exe进程全部结束,如果太多,关机重启也可以。 找到C:\Windows\System32\WindowsPowerShell\v1.0文件夹,将文件夹下的powershell.exe随便修改一个名字,比如power.exe。 如果修改名字时,提示如下 需要先在上一级目录,v1.0文件夹上,右键“属性”–>“安全”–>“级”–>...
问与答 什么是 Network Service
03-26 803
问:在 IIS 6 中,Web 应用程序的工作进程设置为以进程标识“Network Service”运行。在 IIS 5 中,进程外 Web 应用程序则设置为以 IWAM_ 帐户运行,这个帐户是普通的本地用户帐户。可否提供有关这个新帐户的信息,它对于安全性以及管理来说很重要吗?  答:Network Service 是 Windows Server 2003 中的内置帐户。您说得很对,了解 I
CentOS8使用network.service服务管理网络
坐公交也用券
11-20 1万+
前言: 在CentOS8中,我们常用的network.service服务就被NetworkManager.service服务代替了,同样的,IP的配置方法也发生了改变,那么如果想使用network.service服务去管理/配置系统网络怎么办呢?下面带你梦回network.service 准备工作: 系统能连上网 一、禁用NetworkManager.service systemctl stop NetworkManager systemctl disable NetworkManager 执行结果:
RHEL7/CentOS7 Network Service开机无法启动的解决方法
dejz8829的专栏
06-13 257
RHEL7/CentOS7安装完成并配置好所有网络相关配置后重启机器,使用systemctl --failed检查是否有失败的服务,发现在network服务启动失败,使用systemctl status network查看服务状态,得到如下错误信息: [plain]view plaincopy <spanstyle="font-family...
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3575
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
趋势科技云安全解决方案:虚拟化防病毒策略
"虚拟化防病毒和云安全解决方案.ppt" 本文主要探讨了虚拟化环境下的防病毒策略以及云安全解决方案,重点介绍了趋势科技在这一领域的贡献和解决方案。趋势科技是一家专注于网络安全的公司,针对中国用户,他们特别...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值