【Linux】排查进程、挖矿病毒查找

已于 2022-04-12 13:33:12 修改
阅读量5.4k 收藏 28
点赞数 5
分类专栏: Linux 问题解决 文章标签: linux 运维 服务器
于 2022-02-28 22:47:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39165617/article/details/123193485
版权

排查某进程占用CPU较高

一、常用指令

top 发现
sudo pstree -asp pid
sudo netstat -anp | grep pid
sudo lsof -p pid 查看用了哪些文件
which zed
ls -lh /usr/sbin/zed 查得文件较大,有问题
sudo crontab -l 查看root的定时任务

systemctl status zed.service
sudo systemctl stop zed.service
sudo systemctl disable zed.service

二、排查记录

2.1 问题

实验室中有两台服务器,top指令发现有进程占用极高CPU,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动,两台服务器启动的进程不一样,一个是名为xmrig(挖矿程序),一个名为-bash,接下来分分别记录这两台服务器的两个进程来解决
在这里插入图片描述

2.2 排查xmrig进程

2.2.1 查看进程信息

top指令查看占用
在这里插入图片描述
ps -aux |grep pid查看进程信息
在这里插入图片描述

pstree -asp pid 查看父子进程及命令在这里插入图片描述
netstat -anp | grep pid查看网络连接,与新加坡的ip建立了连接
在这里插入图片描述
还可通过cd /proc/pid进入到指定pid进程的文件夹中,其中fd文件夹记录了使用到的文件软链接

2.2.2 查看定时启动任务

  1. crontb -l 查看当前用户所有定时任务
    在这里插入图片描述
  2. 可crontab -r 清除所有定时任务

2.2.3 查看自启动服务

  1. 执行ll /etc/systemd/system/multi-user.target.wants/***.service查看文件夹下所有自启动服务
  2. 执行 systemctl list-unit-files |grep enable查看所有开启的自启动服务
  3. 网上查到是跟myservice.service有关,查看其内容
    在这里插入图片描述
  4. 发现其执行的是/usr/bin/sshd,文件名称看似正常,实际上查看其内容,发现问题大了在这里插入图片描述

2.2.4 解决

  1. 首先crontab -r 删除所有定时任务

  2. 执行systemctl disable myservice.service取消任务
    删除找到的那些文件等

  3. sudo grep -rnR /bin/sshd ./* 查找当前目录下是否有某文件中含有/bin/sshd字符内容
    在这里插入图片描述

2.3 排查-bash进程

2.3.1查看期父子进程以及命令

ps 发现其执行命令为systemd
在这里插入图片描述
pstree,每个核心开了一个在跑
在这里插入图片描述
查看其网络连接
发现其与国外某IP建立了tcp连接
在这里插入图片描述

2.3.2 排查

  1. 查看定时任务 crontab -l
    在这里插入图片描述
  2. 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.target.wants/***.service

2.3.2 解决

执行sudo crontab -e编辑定时任务,并删除定时任务,或者直接执行sudo crontab -r删除所有定时任务
不再出现,成果解决

2.4 排查zed进程

top 发现
在这里插入图片描述
pid为 2717
sudo pstree -asp 2717
sudo netstat -anp | grep 2717
sudo lsof -p 2717 查看用了哪些
在这里插入图片描述
which zed
ls -lh /usr/sbin/zed 查得文件较大,有问题
在这里插入图片描述

sudo crontab -l 查得为空
systemctl status zed.service
在这里插入图片描述
sudo systemctl stop zed.service
sudo systemctl disable zed.service

2.5 安装杀毒软件排查

sudo apt-get update
sudo apt-get install clamav clamav-daemon
clamscan --version

暂时停止服务
sudo systemctl stop clamav-freshclam
更新病毒库
freshclam
重启服务
sudo systemctl start clamav-freshclam
对home查杀
clamscan -r -i /home -l /var/log/clamscan.log

洪城布衣
关注
  • 5
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
linux挖矿病毒排查-实操
w_kndy的博客
11-03 613
linux挖矿排查实战,看这一篇就够了
Linux挖矿应急响应处置
最新发布
weixin_43253823的博客
03-06 1023
记一次Liunx挖矿应急处置流程
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3343
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2466
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查
嵌入式实践教程--Linux性能优化实战之CPU中大量僵尸进程和不可中断进程
热门推荐
Muggle的博客
10-17 1万+
如果系统或硬件发生了故障,进程可能会在不可中断状态保持很久,甚至导致系统中出现大量不可中断进程。这时,你就得注意下,系统是不是出现了 I/O 等性能问题。 再看僵尸进程,这是多进程应用很容易碰到的问题。正常情况下,当一个进程创建了子进程后,它应该通过系统调用 wait() 或者 waitpid() 等待子进程结束,回收子进程的资源;而子进程在结束时,会向它的父进程发送 SIGCHLD 信号,所以,...
liunx挖矿程序排查思路
凯歌响起的博客
10-23 2012
最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下:安全告警邮件。
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒
Senoh的博客
09-30 3179
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
Linux-挖矿木马清理
rendongxingzhe的博客
11-22 1452
Linux安全-挖矿防护
Linux应急响应-入侵排查
weixin_52501704的博客
10-30 689
LINUX应急响应
Linux入侵排查.docx
05-07
Linux入侵排查
Linux系统故障分析与排查
02-21
Linux系统中,同样需要进行大量的备份来完成系统的维护工作,并且使用复制粘贴命令即可完成,在接下来的时间中介绍一些关于Linux系统故障分析与排查的操作。日志服务器的部署通过一台RHEL5作为日志服务器A,一台...
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
Linux】腾讯云服务器,使用FRP内网穿透,端口映射,远程访问内网主机、代理内网
qq_39165617的博客
11-24 8862
这里写目录标题一、需求分析1.1 情况1.2 需求1.3 解决方案二、安装FPR2.1 限定2.2 云服务器(服务端)安装FPR 一、需求分析 1.1 情况 有一台具有公网ip的腾讯云服务器Linux CentOs7.6版本 有一台局域网内的服务器(ununtu 1604版本),局域网IP为5.5.3.240,这台服务器能访问外网,但外网无法穿透找到该机器 1.2 需求 我有一台不在那个局域网内的机器,想访问局域网内的机器 1.3 解决方案 搭建FPR服务,通过腾讯云服务器间接访问局域网内的机器 二、安装F
Linux】动态防火墙,实现对攻击IP的动态拦截,一定程度上解决云服务器主机经常被境外IP尝试登录,屏蔽指定地区、国家的IP连接
qq_39165617的博客
02-20 6517
屏蔽指定地区、国家的IP 使用腾讯云/阿里云服务器时,登录时经常会出现There were XX failed login attempts since the last success,并且这个数量经常成百上千,那么该如何预防境外IP的尝试登录和国内IP的尝试登录次数呢? 可以设置一个动态防火墙,自动监控IP所属的国家地区等,并记录登录时间、失败次数,将非正常访问的IP地址添加到防火墙中
【Java】Socket网络编程实现内网穿透、端口映射转发、内网穿透上网工具的编写,设置IP白名单防火墙
qq_39165617的博客
05-08 5231
背景 1.1 情景假设 假如我在学校里有一台台式电脑A,这台台式电脑在实验室局域网内拥有一个局域网IP 192.168.0.A(为了方便我们这样描述IP) 我在家里有一台笔记本B,这台笔记本在家中局域网内拥有一个局域网IP192.168.0.B 1.2 想要达到的目的 我在家里想使用笔记本B通过ssh登录到A电脑的22号端口进行shell相关操作 1.3 局限 我们是没法直接访问到的,因为在当前网络环境下,我们使用的机子一般都不具备公网IP,这样我们在寻址时只靠对方的局域网IP是无法找到他的 1
Linux】(二)实验室添加新用户及其配置vnc4server、xfce4桌面访问流程
qq_39165617的博客
04-19 5057
新建用户并配置说明1.用户名2.共享软件流程情况假设1.添加到组2.初始化conda3.重登4.初始vnc4server杀死服务修改配置文件重开vnc4server服务远程连接 说明 1.用户名 用户名均为intleoxy,其中x为服务器编号,y为用户序号,所有intleoxy的用户组名为intleox1 例如服务器2中的用户为 intleo21 intleo21 intleo23 ·······, 用户均属于 intleo21组 2.共享软件 例如服务器2 anaconda3,位置在/usr/loc
linux挖矿病毒排查
12-07
Linux系统中挖矿病毒排查可以通过以下步骤进行: 1.使用top命令查看系统资源占用情况,如果发现CPU、内存、网络等资源占用率异常高,可能存在挖矿病毒。 2.使用netstat命令查看网络连接情况,如果发现大量连接到疑似挖矿池的IP地址,可能存在挖矿病毒。 3.使用ps命令查看进程情况,如果发现疑似挖矿程序的进程,可以使用kill命令结束进程。 4.使用clamscan命令对系统进行病毒扫描,可以检测出挖矿病毒等恶意软件。 5.使用安全加固工具对系统进行加固,例如关闭不必要的服务、更新系统补丁、设置防火墙等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值