syst3md矿机病毒及解决办法

已于 2022-07-08 14:04:37 修改
阅读量2.9k 收藏 10
点赞数 5
文章标签: linux 安全 centos
于 2021-11-17 10:27:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39550368/article/details/121372085
版权

创建于 2021年11月17日
作者:想想

文章目录

syst3md矿机病毒及解决办法

​ 一大早起来,发现自己的服务器,cpu 100%,第一时间想到的就是服务器被肉机了,但我之前改过 ssh 登陆的端口哇,不应该这么容易被暴力ssh破解,先解决问题吧。

请添加图片描述

1、top 查看cpu占用情况

在这里插入图片描述

​ 发现这个玩意儿叫 syst3md 百度发现,这玩意儿是个矿机病毒

在这里插入图片描述

​ 距离上一次巡查有一个礼拜了,估计被这小子白白挖了我一个礼拜的矿,话不多说,直接解决

2、查看定时任务

root 用户执行 crontab -l 查看死否存在定时任务,如果存在不认识的,统统删除 crontab -r

3、查看程序位置

通过 top 命令,我们可以知道这个 syst3md 的进程 PID 为 1818024 所以我们执行 ls -l /proc/1818024/exe

[root@Xiang ~]# ls -l /proc/1818024/exe
lrwxrwxrwx 1 lighthouse lighthouse 0 Nov 17 09:27 /proc/1818024/exe -> /tmp/.../syst3md

这个地方就很狡诈了,因为路径中带有 “…" 我原本以为这个文件 在 tmp 路径下的多层级文件夹内,用 find 命令在 tmp 下找半天,也还是 /tmp/.../syst3md 这个结果,原来,黑客在创建文件夹的时候,文件夹名就叫 ...

进入到程序路径,把这些文件都干掉

rm -rf /tmp/.../

4、杀进程

kill -9 1818024

执行完成后,立竿见影

在这里插入图片描述

在这里插入图片描述

5、扩展

当然,解决完问题,不能就此结束,我们需要反思一下,为何会发生这样的问题

  1. 因为我们的服务器是直接暴露在公网情况下,任何一台服务器都可以通过互联网访问到这台主机,因此,对必要的端口进行限制访问,是明确之举,就拿SSH端口来说,吧自己的SSH端口设置为单个或多个IP访问,不要轻易设置为 0.0.0.0 ,这样能从源头上解决大部分问题,一些有防范意识的中小企业,都不会把轻易把服务器暴露在公网下。除非他有非常强大的运维团队!
  2. 通过top查看cpu访问情况,我们发现启动用户竟然是 lighthouse 用户,这个用户是买服务器后,Linux 系统自带的一个用户,不难想到,这个用户可能被某些黑客所破解,即使你更换了 SSH 端口,仍然可以破解你的服务器!所以对于自己用不到的用户,要第一时间删掉,不要给黑客留下可乘之机!

我是想想,我坚信越努力、越幸运,感谢关注!

Xiang想`
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
遭遇syst3md挖矿病毒(1)
u013469501的博客
04-09 2048
一套刚刚装好19C RAC,发现grid用户起了一个奇怪的进程,且CPU占用很高,将近800%,如下图: 查看这个程序发现写了好几行命令: 查询了一些资料,发现和其他文章描述极其相似,具体不太懂,也不想研究这东西了。那就开始清除吧,考虑到主要干2件事,一是杀进程,二是修改密码,这下黑客的“肉鸡账本”又少了2台白嫖,哈哈哈~ 在syst3md的主进程(exe)中有个软连接指向了/tmp目录下的syst3md,其中黑客在tmp目录下创建了...作为隐藏目录,包装了一层目录,真是...
遭遇syst3md挖矿病毒(2)
u013469501的博客
04-14 1042
上一篇说道我清除了syst3md挖矿病毒程序后,原本以为这事就解决了,可事情没这么简单,top命令显示虽然没有高消耗的进程,但US%很持续50%,32核的长期占用16核的100%,见下图 在使用一系列操作系统命令排查后,占用cpu较高的程序或进程始终没有找到。 期间考虑过是不是由于操作系统内核版本命中了有缺陷的内核导致的,但和其他一样操作系统比对来看,那台机器并没有发生这种现象。 最终,将排查方向还是锁定在病毒未清除干净这个方向上。继续参考了多个博客发现一个共同点,那就是top命令中的用户
linux 挖矿病毒解决(syst3md
xia_2017的博客
08-03 5583
早上来了测试服务器哇哇的响,一猜肯定是有异常病毒了,登陆服务器查看果然有问题。内存直接占了2000多,直接执行kill -9 pid 干掉之后,自己又重新起来了。然后就排查 解决过程 1.先看是否存在异常定时脚本 crontab -l。如果都是非正常定时脚本直接全部姗除。指令为:crontab -r 删除所有定时脚本任务。我这里排查时,没有发现异常定时任务 2.查找病毒进程来源。指令:ls -l /proc/1041/exe 1041为进程PID 通过指令可以发现病毒执行文件...
syst3dm进程linux,linux中LVM介绍及实验过程
weixin_36115763的博客
05-11 1563
LVMLVM这个词不仅一次出现过,在安装Centos时,磁盘分区时,默认分区就是使用LVM方式分区;再一个就是在OpenStack部署时候用到LVM作为后端存储。对LVM的理解还是不太清晰,查询资料,整理了这篇LVM的博客。1. LVM的背景​ Linux用户安装Linux操作系统时遇到的一个最常见的难以决定的问题就是如何正确地评估各分区大小,以分配合适的硬盘空间。而遇到出现某个分区空间耗尽时,解...
syst3m:通过python轻松管理系统用户和组
02-15
Syst3分钟 作者:Daan van den Bergh。 版权::copyright:2020 Daan van den Bergh版权所有。 支持的操作系统:ubuntu。 安装 pip3 install syst3m --upgrade && python3 -c "import syst3m" --create-alias CLI: syst3m cli工具。 Usage: syst3m <mode> <options> Modes: --user myuser : Configure a system user (linux). --check : Check the existance of the specified group. --create : Create the specified group. --delete : D
syst3md 挖矿病毒处理记录
架构师的成长之路的博客
02-10 942
转载syst3md 挖矿病毒处理记录_zhangjianming2018的博客-CSDN博客 这两天发现服务器上部署的应用系统 体验较差,访问响应慢 不太对劲。部分接口响应达到了 4秒。正好空闲上服务器上检查一下性能。 [root@localhost ~]# mpstat -P ALL 10 Linux 3.10.0-957.el7.x86_64 (localhost.localdomain) 2022年01月28日 _x86_64_ (20 CPU) 16时27分10秒 ...
系统进程列表
—完美主人—
04-22 1373
系统进程列表    Top System Processes          [system process]  actmovie.exe  agentsvr.exe     alg.exe  ASPNET_WP.exe  btwdins.exe     ccmexec.exe  cidaemon.exe  cisvc.exe     clisvcl.exe  cmd.exe  Cont...
FANUC机器人SYST-212报警PAUSE.G需要应用DCS参数的解决办法.docx
06-15
FANUC机器人SYST-212报警PAUSE.G需要应用DCS参数的解决办法
Distributed Systems 3e 等三本
01-16
Graph Theory and Complex Networks.pdf Computer and Network Organization.pdf Distributed Systems 3e.pdf
FANUC机器人SRVO-372报警原因分析及解决办法.docx
08-13
3. **示教器故障**:示教器是操作员与机器人交互的界面,内部硬件问题或者软件错误都可能导致报警。 4. **急停按钮失效**:操作面板上的急停按钮是物理安全措施的一部分,如果按钮损坏或接触不良,系统无法正常响应...
FANUC机器人SYST-034 SOP或UOP的暂停信号丢失.docx
01-21
在FANUC机器人的操作中,用户可能会遇到“FANUC机器人SYST-034 SOP或UOP的暂停信号丢失”的警告。这个警告属于WARN级别,表明系统检测到一个异常情况,但还不至于导致机器人完全停止工作。下面将详细解释这个警告的...
FANUC机器人SYST-066示教器通讯错误报警处理.docx
11-20
FANUC机器人SYST-066示教器通讯错误报警处理
服务器遭遇挖矿病毒syst3md及其伪装者rcu-sched:原因、症状与解决方案
最新发布
weixin_44874487的博客
03-15 2254
挖矿病毒syst3md及其伪装者的解决方案,涉及到操作系统的完全解决方案!
遭遇syst3md挖矿病毒(3)--终章
u013469501的博客
04-14 653
先讲个段子: 一个黑客给了你一把钥匙,告诉你,拿它打开门,就可以进去自己家了,当你进去之后,发现总有些奇怪,但就是说不出来。当你遇到这种情况,请冷静下来,因为你进入的并不是你的家,而是黑客用假象给你封装了一个虚拟的家。 有人会说,前面已经清除过病毒了,为什么还有一篇,有什么可写的,因为年轻~,因为对病毒的程序认知不足,最终还是有漏网之鱼:总结就是在/etc/init.d、/usr/bin、/etc/cron.d/ 目录下隐藏着多种木马启动程序,最终都以busybox之名启动,以busybox为关键字,反
记一次syst3md挖矿病毒处理
m0_70613963的博客
02-19 400
不是,怎么一个都不认识啊,这新机器也设置过定时任务啊,全部清除,要记住这个定时任务执行的路径,如果你也遭遇了挖矿病毒,可以通过这个路径找到执行文件,/tmp/.ICE-unix/.k/.file-2234A(可以看到文件夹名字全部带着"."是隐藏文件夹,可恶啊)在删除密钥文件时碰到了新的问题,既没有进程占用,也不是挂载异常,还是删除不了文件,最后把密钥文件置空后保存,清楚了内容,这样他应该进不来了,然后把root密码改了,其他用户全部删除,加强点安全措施。新年开工第一天,服务器一开机,cpu直接彪满;
服务器被入侵怎么办?看我操作
欢迎关注公众号:【码农突围】,回复9999,可以获取一份LeetCode刷题笔记
11-01 274
点击关注公众号,Java干货及时送达????来源:cnblogs.com/operationhome/p/16637763.html一、服务器入侵现象二、服务器排查和处理2.1、服务器被入侵的可能原因2.2、排查和处理步骤三、本次入侵需要带来启示的点四、本次服务器被入侵的一些启示下文中的,给文件和目录加锁,是指给文件和目录增加了一些属性,只读等。chattr +ia一、服务器入侵现象近期有一个朋友的服务...
服务器被入侵怎么办?看我操作!
weixin_44421461的博客
10-18 602
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Xiang想`

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值