服务器中了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法

最新推荐文章于 2024-07-24 10:59:17 发布
最新推荐文章于 2024-07-24 10:59:17 发布
阅读量3.1k 收藏 3
点赞数 1
文章标签: 服务器 运维 linux
原文链接:https://www.cnblogs.com/3body/p/17036824.html
版权

最近收到一条阿里云服务器发出的短信警告,说我们正在利用服务器挖矿,必须立即停止挖矿活动。

SSH 连上服务器后,使用 top -c 命令,发现有个 mxrig 进程几乎把服务器 CPU 资源占满了
在这里插入图片描述

通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决此病毒的方法。
很多文章就是找到病毒路径删除即可。然后我进入 /root 目录后,并未发现有 c3pool 目录。
在这里插入图片描述
我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。
在这里插入图片描述

要关闭定时任务,首先进入 cron 目录

打开 cron 目录中的文件后,发现了一条定时任务

这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件
在这里插入图片描述

打开 shell 文件后发现会从网上下载 shell 脚本再执行

在这里插入图片描述

通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 中执行,然后会删除 c3pool 目录

另外 /etc/crontab 文件中也有这个定时任务,需要删除
在这里插入图片描述

所以,我们将病毒进程杀掉后,再将定时任务删除就行了。
在这里插入图片描述

祥子、
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 2977
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
阿里云服务器挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
Xmrig挖矿木马排查过程,xmrig占用大量CPU
cf
12-10 4131
4.查找find / -name xmrig 文件,或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/5.删除定时任务 rm -rf /var/spool/cron。6.删除ssh认证信息 rm -rf ./ssh/8.尽量使用内网链接,不要暴露端口号或者外网地址。1.通过top发现xmrig占用了大量cpu。3.尝试直接kill发现杀死之后又会自动重启。7.原因,有可能是redis等程序导致,2.通过网上搜索发现是挖矿木马。
服务器xmrigCPU高占用
weixin_65057754的博客
10-07 188
在编译的时候编了好久好久,然后我用top查看,发现xmrig这个东西居然很占CPU,然后用kill进程后不久又有了。用crontab -u liujun -l查也没定时任务了。用命令查看,把xmrig目录下的东西删了,或者mv改了。9344是我这边的xmrig进程号,杀死就行了。然后再kill -9 9344。
【安全】查杀linux上c3pool挖矿病毒xmrig
A_991128a的博客
05-31 931
病毒来源安装脚本![在这里插入图片描述](https://img-旷池提供的卸载脚本。
Xmrig挖矿入侵服务器排查
BothSavage
03-19 780
挖矿程序入侵
记一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
2401_84140140的博客
04-09 775
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
Linux服务器清除xmrig挖矿病毒详细教程
似梦初觉的博客
11-04 8818
近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现xmrig挖矿病毒,并且通过kill 杀掉进程后,还会自动启动。这是由于只是停止了xmrig挖矿病毒的进,没有彻底删除病毒文件,导致会病毒会自动重启进程
记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒
Jeson的博客
07-13 2900
突然发现服务器cpu及负载全部达到100%,不出意外应该是病毒了,开始十万火急的排查!!!!! 1、首先执行 top 命令查看具体占用 果然不出所料,挖矿病毒,下面开始清除 2、直接杀死进程 kill -9 22408 发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程 3、开始查找文件 find / -name xmrig 找到文件目录:/root/skypool/xmrig 4、进入看一下文件详情 cd /root/skypool ls 果然是病毒文件 5、进行删除处理 r.
Linux查找占用的端口,并杀死进程方法
01-20
我要使用4040端口,但是被其他的程序占用了 ... 您可能感兴趣的文章:linux 查看端口占用命令实例详解Linux查看端口、进程情况及kill进程方法查看linux某个端口(port)是否被占用的方法详解Linux查看程序端口占用情况
jenkins 部署启动项目后 杀死子进程
01-09
前言 最近在鼓捣 jenkins 的时候,遇到了很多问题,这个...正如题目写的,就是 jenkins 在构建结束之后,会杀死它创建的子进程,所以你写的后台执行的脚本也会被kill掉。 方案一: # 在执行的脚本前边加入:不要杀
sap后台监控杀进程方法
08-22
在 SAP 系统管理,后台监控是确保系统性能稳定和高效运行的关键环节。当后台进程占用过多资源,可能导致系统压力增大,此时需要采取措施优化系统。本文将详细阐述如何利用 SAP 提供的工具进行后台监控,并介绍如何...
window,tomcat部署程序后进程查看
12-31
window,tomcat部署程序后 怎么查看tomcat占用端口是否启动 怎么查看程序的监听端口 怎么杀掉进程 怎么修改tomcat启动内存 怎么修改tomcat进度名称
两台低功耗服务器存档
skywalk8163的专栏
07-23 763
两台都是J1900 四核芯片,当前1号机内存8G,2号机内存4G后将2号机内存升为8G,使用的协德牌子的内存。
Linux:基础命令学习
qq_55038440的博客
07-20 1483
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
使用 Qt5WebSockets 模块来实现 WebSocket 客户端和服务器
melonbo的专栏
07-23 221
【代码】使用 Qt5WebSockets 模块来实现 WebSocket 客户端和服务器
14. Hibernate 一对多双向关联映射
最新发布
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-24 999
本节课程和大家一起聊聊一对多关联映射。通过本节课程,你将了解到:如何实现一对多关联映射;如何实现双向一对多关联映射;关联映射的级联操作。
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值