记一次阿里云linux服务器中毒处理

最新推荐文章于 2024-05-03 22:28:16 发布
最新推荐文章于 2024-05-03 22:28:16 发布
阅读量965 收藏 2
点赞数 1
分类专栏: 分布式架构内容(服务器+docker等) 文章标签: 阿里云 云服务器 服务器中毒
原文链接:https://blog.csdn.net/zb408832388/article/details/103128938
版权

记一次阿里云linux服务器中毒处理

事件

阿里云告警:
您的云服务器(XXXXX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(XXX)的访问,阻断预计将在XXXXXX时间内结束,请及时进行安全自查。

登录服务器(Ubuntu 16.04.4 LTS),发现CPU满载,docker下的jekins各种重启。
定位进程

top命令,发现CPU占用很高的是一个叫migration的进程,这个进程不是我开启的。
kill -9 PID 杀掉,果然安静了。
但是没过几分钟,这个进程又起来了,看来有程序自动启动它。
ll /proc/PID 看到 exe ->/tmp/migration(deleted) ,厉害了,可执行文件居然已经被删了。
pstree -a 查看进程树,一样也没找到这个进程。
定位进程失败!
人肉筛查

kill掉migration,再打开top, 试图通过肉眼观察出有没有进程突然闪现,naive!啥也没捕获到。
kill掉migration,再iftop -PB,试图通过观察网络使用情况来发现启动进程,然并卵。

 

clamav

无奈,祭出查毒工具clamav,这个工具默认只查毒报警不做处理。


  #  1.安装

apt-get install clamav
# 提示我apt-get update,于是先更新了一下

 # 2  下载病毒库

freshclam

 #  3. 扫描并记录日志

clamscan -r /home/jekins -l /tmp/clamav.log

数个小时之后,扫描结束。log的SCAN SUMMARY中显示Infected files:2,这里坑的是log里面每个文件都输出了结果,导致很不好找,还好机智的查了一下有毒文件会标识FOUND,轻松搜到。
其实可以用命令clamscan -r --bell -i /home/jekins ,只显示有问题的文件并发出报警声。
总之,查到病毒文件是一个很深很深的目录下的两个76eb30d638ac40文件,直接删除,再kill -9 PID,到此彻底查杀了。
 

来源

后来查看阿里云的云安全中心预警信息,发现了2条预警,可见恶意进程和来源。

参考

  1. 解决阿里云服务器CUP爆满被用来当挖矿机(中病毒解决)
  2. (centos7)阿里云 ECS中毒后CPU一直占用100%的解决过程
  3. Linux通过PID查看进程完整信息
  4. linux clamav 免费查毒工具

 

————————————————
版权声明:本文为CSDN博主「九韭酒」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zb408832388/article/details/103128938

bggl
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云Linux服务器配置及问题解决.docx
03-19
阿里云Linux服务器配置是搭建和运行Java、MySQL等应用程序的基础步骤。本文将详细介绍如何配置Linux环境,包括连接服务器、安装Java、JDK以及MySQL,并解决常见的问题。 首先,要连接到阿里云Linux服务器,可以使用...
process migration进程迁移) 学习笔
风一样的安姑娘的专栏
12-14 3359
检查点算法一般分为2种:非协调式和协调式。 在非协调的检查点算法中,每个进程可独立决定保存自己状态的时刻,缺点是易产生多米诺效应幔。每个进程需要维护多个检查点文件,浪费大量已进行的工作和大量存储空间。 在协调检查点算法中,要求多个进程协同地设置检查点,以获得一致的全局状态,避免多米诺效应,而且它只需要每个进程在稳定存储七维护一个永久性检查点,降低了存储开销。 基于检查点和消息日志的同卷恢复容
进程迁移
√R.D
06-26 2993
进程迁移(Process Migration) 什么是进程迁移?  进程迁移就是将一个进程从当前位置移动到指定的处理器上。它的基本思想是在进程执行过程中移动它,使得它在另一个计算机上继续存取它的所有资源并继续运行,而且不必知道运行进程或任何与其它相互作用的进程的知识就可以启动进程迁移操作,这意味着迁移是透明的。 进程迁移的好处  进程迁移是支持负载平衡和高容错性的一种非常有
2024年Linux最新Linux流行病毒家族&清除方法集锦_恶意软件有哪些家族,2024年最新抖音四面被拒再战头条终获offer
最新发布
code8889的博客
05-03 482
XorDDoS僵尸网络家族从2014年一直存活至今,因其解密方法大量使用Xor而被命名为XorDDoS,其主要用途是DDos公网主机,特点是样本运用了“多态”及自删除的方式,导致主机不断出现随机名进程,同时采用了Rootkit技术隐藏通信IP及端口。RainbowMiner自2019年就频繁出现,由于其访问的C&C域名带有Rainbow字符串而得名,其最大的特点是会隐藏挖矿进程kthreadds,排查人员会发现主机CPU占用率高,但找不到可疑进程
[Linux]-服务器CPU占用过高处理方案
xyzhang的博客
04-24 2259
一、使用top命令找出CPU占比最高的进程 top命令定位异常进程 如果确定是Java进程则进行下一步详细定位 举个栗子:可以看出CPU占比最高的为Java进程 top - 09:11:37 up 21 min, 3 users, load average: 0.54, 0.25, 0.16 Tasks: 94 total, 1 running, 93 sleeping, 0 stopped, 0 zombie %Cpu(s): 3.0 us, 6.4 sy, 0.0
Java进程CPU使用率高排查
sunct的博客
03-29 1450
1.使用top 定位到占用CPU高的进程PIDtop 通过ps aux | grep PID命令2.获取线程信息,并找到占用CPU高的线程ps -mp pid -o THREAD,tid,time | sort -rn 3.将需要的线程ID转换为16进制格式printf "%x\n" tid4.打印线程的堆栈信息jstack pid |grep tid -A 30实际例子,可参考:https://...
49 | 案例篇:内核线程 CPU 利用率太高,我该怎么办?
qq_37756660的博客
10-16 614
上一期,我们一起梳理了,网络时不时丢包的分析定位和优化方法。先简单回顾一下。网络丢包,通常会带来严重的性能下降,特别是对 TCP 来说,丢包通常意味着网络拥塞和重传,进而会导致网络延迟增大以及吞吐量降低。而分析丢包问题,还是用我们的老套路,从 Linux 网络收发的流程入手,结合 TCP/IP 协议栈的原理来逐层分析。其实,在排查网络问题时,我们还经常碰到的一个问题,就是内核线程的 CPU 使用率很高。比如,在高并发的场景中,内核线程 ksoftirqd 的 CPU 使用率通常就会比较高。
Linux 系统 CPU 占用率较高问题排查思路
Yonx
08-27 2218
1. 使用vmstat查看系统维度的CPU负载 用法说明: 格式:vmstat -n 1 # -n 1 表示结果一秒刷新一次。 示例输出: [root@localhost ~]# vmstat -t 1 procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu----- -----timestamp----- r b swpd free buff cache si so ...
linux阿里云服务器+nginx.docx
07-14
【标题】:“Linux阿里云服务器+nginx”的详解 【描述】:本课程专注于Linux操作系统在阿里云服务器上的应用,以及Nginx的配置和管理,旨在帮助开发者和运维人员快速掌握在Linux环境下部署项目和利用Nginx进行...
阿里云云服务器远程连接管理Linux服务器图文教程
01-20
远程连接Linux云服务器-命令行模式 1、远程连接工具。目前Linux远程连接工具有很多种,您可以选择顺手的工具使用。下面使用的是名为Putty的Linux远程连接工具。该工具是免费的,且不需要安装,在网上方便地下载到。...
阿里云云服务器Linux系统挂载数据盘图文教程
09-15
阿里云云服务器Linux系统挂载数据盘图文教程旨在帮助用户有效地管理和使用购买的额外数据盘。在云服务器环境中,数据盘通常用于存储重要的应用程序数据或扩展服务器的存储空间。本教程适用于运行Redhat、CentOS、...
阿里云云服务器Linux系统FTP服务器搭建设置教程
09-15
阿里云云服务器Linux系统FTP服务器搭建设置教程是一个详细的指南,旨在帮助用户在各种常见的Linux发行版上,如Redhat、CentOS、Ubuntu和Debian,安装和配置FTP服务器。FTP(File Transfer Protocol)是一种用于在...
Linux下如何查看哪些进程占用的CPU内存资源最多
a313469292的博客
12-09 1598
linux下获取占用CPU资源最多的10个进程,可以使用如下命令组合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|headlinux下获取占用内存资源最多的10个进程,可以使用如下命令组合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head命令组合解析(针对CPU的,ME...
linux migrations病毒守付进程分析
Cosmopolitan的博客
05-16 418
首先看main函数 进入background()函数 相当于fork了新的进程,然后父进程退出,由子进程来执行 进入checkmsgger()函数 先检查是否存在/etc/httpdz文件,这是个后门文件,下一篇会分析,如果没有,他会在initfiles()函数里下载到机器上执行 进入initfiles()函数 它先检查是不是root用户,是的话就下载到/etc/initdz,不...
10个不得不知道的”系统进程
运维管理系统
08-29 633
在日常的运维工作中,当我们习惯性的执行ps命令后会看到很多“奇奇怪怪”的进程,而这些进程大部门都是系统的内核进程。很多同学对之了解的甚少,因此今天就为大家整理一篇入门级的系统进程介绍帖,希望能够帮助大家对操作系统进程的理解。 前言 在日常运维工作中,经常会看到一些奇怪的系统进程占用资源比较高。而且总是会听到业务线同学询问“xxx这个是啥进程啊?咋开启了这么多?” 而这些系
腾讯云服务器中毒后的处理办法
csdndddsd的博客
10-09 411
(2)清除其它相关恶意进程恶意进程与外部的C2服务器进行通信时,往往会开启端口进行监听。执行如下命令,查看服务器是否有未被授权的端口被监听。然后按照第一步的方法清除进程及程序即可可以通过如下命令排查近期新增的文件,清除相关木马find /etc -ctime -2 (这里指定目录为/etc,获取近2天内的新增文件)lsof -c kinsing (这里要查看文件名为kinsing的相关进程信息)其他有效命令。
Linux进程详解
weixin_40548182的博客
02-20 878
/sbin/init 内核启动的第一个用户级进程,引导用户空间服务 [kthreadd] 内核线程管理 [migration/0] 用于进程在不同的CPU间迁移 [ksoftirqd/0] 内核调度/管理第0个CPU软中断的守护进程 [migration/1] 管理多核心 [ksoftirqd/1] 内核调度/管理第1个CPU软中断的守护进程 [events/0] 处理内核事件守护进程 [events/1]
linux 内核migration任务,[转]linux内核线程migration_thread和kthreadd的创建
weixin_30744725的博客
04-30 2181
linux内核中两大重要的线程,migration_thread负责cpu的负载均衡(将进程从本地队列移动到目标cpu的队列),kthreadd负责为kthread_create_list链表中的成员创建内核线程。内核版本2.6.24中的引导部分,start_kernel()->rest_init():点击(此处)折叠或打开static void noinline __init_refok ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值