记录一次ubuntu服务器被挖矿解决过程

最新推荐文章于 2025-04-28 16:39:28 发布
最新推荐文章于 2025-04-28 16:39:28 发布
阅读量319 收藏 8
点赞数 3
文章标签: 服务器 ubuntu linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39624083/article/details/147537051
版权

服务器上并没有运行的程序,GPU占用率为0%,但是cpu占用率很高。
这种cpu利用率很高用 nvidia-sminvitop 都看不出来,但是用 top -c 命令可以看到。

第一步,利用以下命令查看cpu利用率最大的不正常的命令:

top -c

在这里插入图片描述
利用 kill -9 [pid] 无法完全杀死该命令,过几秒种就会自动重启,而且每次重启后的pid都不同。

利用网络上的各种教程都无效。但总结起来解决的核心思想就是:

找到程序脚本所在地,先解除挂载,再删除脚本。

第二步,利用以下命令找到挖矿程序所在的位置:

find / -name [挖矿命令的名字]

[挖矿命令的名字]:比如我的图片中的beam.smp

在这里插入图片描述
发现他并不在正常路径下,利用 ls 等命令去查看是找不到这个路径下的文件的。但同时也发现,所有程序都是通过docker运行的,而服务器之前并没有装过docker,所以是攻击者装的。

注意:如果此时你利用 sudo rm -rf 去直接删除该脚本是无法删除的。
在这里插入图片描述

第三步,挂载正在运行的挖矿程序:

cat /proc/mounts | grep docker
umount <mount_point>

注意: 这一步可能会挂载掉你的docker程序(如果你有的话),所以具体参考这个【Docker卸载及删除/var/lib/docker目录报错解决方法】来操作。

在这里插入图片描述

第四步,杀死正在运行的挖矿程序,删除挖矿脚本:

pkill [挖矿程序]
sudo rm -rf [挖矿程序位置]

[挖矿程序]:比如我的是beam.smp
在这里插入图片描述

第五步,修改root账号密码:

sudo passwd root
BADBADST_ME
关注
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1789
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑中了病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
记录一次ubuntu服务器CPU占用100%的问题排查过程
ideaoverflow的博客
05-02 9357
最近在ubuntu服务器上跑深度学习的训练程序,运行一段时间程序就会被kill,给实验带来了不少麻烦。作为linux小白,着实是被这个问题困扰了一段时间,现将最后成功的方法记录下来。 关于这类问题,最常见的原因是系统内存不足,触发了OOM killer。于是先用htop查看系统的资源使用情况: 发现系统内存仍然是充足的,但是所有CPU核心都是100%占用。所以应该不是内存不足的问题,而是因为CPU爆满了。CPU主要是被一批“python”进程占用了。尽管这批进程的启动命令都显示为“python”,但没有参
ubuntu服务器木马类挖矿程序排查、及安全管理总结
disanda的专栏
12-13 1466
如果只是简单的病毒,删除PID运行的文件即可进一步的就是定时启动程序,及开机启动程序(守护进程-daemon, 也叫系统服务,是指在后台运行且不直接与用户交互的进程)最后就是排查日志,另外做好权限管理,账户的密码尽量复杂一些,跑程序的普通用户不需要给。
ubuntu主机被挖矿——排查与应急响应
4pri1
08-03 2899
说来话长,昨天晚上想搞个自动发短信提醒的平台,偶然间看到腾讯云给我发的站内信, 我直接好家伙,半个月了,我才发现,赶快去看了看我的控制台cpu负载 直呼好家伙,这显然是被挖矿了啊,挖了半个月了,让你再挖一晚上吧,于是第二天早上开始了应急响应。 首先查看腾讯云监控的信息, 定期登录看看我?伤害不大,侮辱性极强 cat ~/.bash_history 看到这里想到之前做一个团队服务器时潦草建了个测试账户 看了看bashhistory, 嘶,当时雀实够潦草,顺...
Ubuntu清除挖矿病毒的一次记录
OTZ_2333的博客
02-24 4433
一次遇到服务器被别人入侵挖矿,在专业人员的帮助下找到并清除了挖矿病毒。这篇博客只是我的一个记录,不一定适用所有的情况,不过还是希望能给大家一定帮助。 发现问题:有程序使用了大量的GPU资源,询问了账号的主人发现并不是ta的程序,而且使用root身份kill后会自动重启。 此外,通过ps -aux命令显示,该程序的命令为一个文件夹,用过conda的人都知道/bin下面的python是一个可执行文件,而非文件夹;跟别说里面有一个pytorch文件夹 并且文件夹anaconda3根本不存在,该服务器装的
ubuntu清理挖矿病毒
My Struggle
02-16 2099
清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。 所谓后门,我检查了路由条目和定时任务: 是否有多出来的定时任务(非自己加入的定时任务)? 是否有多出来的路由条目? 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
服务器管理】Ubuntu一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
陈艺荣
01-15 1万+
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程
一次服务器挖矿病毒的经历
weixin_45971435的博客
09-04 1129
服务器因为存在弱口令被植入挖矿病毒,记录一下与其斗争并最终解决过程
一次服务器挖矿的处理解决
ZL_1618的博客
12-28 1272
last 列出当前和曾经登入系统的用户信息> 它默认读取的是/var/log/wtmp文件的信息> 输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。> 当然也可以通过 last -f 参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!IP 查询,如若未发现异常,推断应该是:攻击者清除了登录记录日志导致的。
记录一次服务器被劫持下载了挖矿病毒的处理过程
黄嚯嚯
01-29 6967
etc被篡改导致系统中病毒 起因: 一年前买的阿里云服务器 , 买了没多久 , 因为没做什么安全措施 , 然后就莫名奇妙服务器被劫持 , 在上面下载了挖矿的一些脚本 ,当时做的处理方式 简单粗暴 直接重置了我的阿里云服务器 , 并且改了密码 , 同时在阿里云的服务器控制台 -> 安全组规则中 关掉了掉了脚本来源的IP地址的出入权限 , 之后的一年 都一直风平浪静 , 知道昨天 , 手贱 ,,,,, 觉得过去很久了 应该没啥了 , 就删掉了那条规则, 也就是等同于放开了那个IP对本机的...
记录linux遇到nanominer挖矿软件病毒以及暂时解决方案
liuskuif的博客
01-02 2734
小白遇到的nanominer挖矿软件病毒以及临时解决办法
记录一次centos被挖矿病毒感染的经历
热门推荐
fengwuxichen的博客
04-26 1万+
公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。感染原因应该是redis没有设置密码导致的。记录一下临时处理记录。 安装busybox 由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。...
GPU服务器挖矿病毒-查杀-分析-预防
qq_40156289的博客
09-17 3391
1. 确认是挖矿病毒 使用命令nvidia-smi发现GPU被root用户(也可能是普通用户)大量占用,体现形式为:显存占用率不一定为100%,但GPU使用率为100%。 使用命令 top(htop) 发现CPU使用率非常高,将近100%。(注意此处可能看到很多以root用户运行的程序,但大多数可能是系统默认程序。) 使用上述两个命令,可以发现CPU和GPU均被大量占用,此时我们利用nvidia-smi命令查看运行程序的PID进程号,并尝试通过kill的方式结束进程,若发现kill后会重启,并且
vue3使其另一台服务器上的x.html,实现x.html调用中的函数,并向其传递数据。
bluejad的博客
04-28 81
【代码】vue3使其另一台服务器上的x.html,实现x.html调用中的函数,并向其传递数据。
Linux:进程的创建&&进程的终止
Visual_progress的博客
04-24 766
fork是c语言中的一个函数,用于创建新的子进程,它存放在<unistd.h>的头文件中当我们运行程序时,如果使用了fork函数那么就会为这个进程创建一个它的子进程,这个子进程会继承父进程的所有数据和代码,但其实子进程是和父进程共用一套数据和代码。还有一个重点是:内存指针子进程会继承父进程的内存指针,内存指针用于指向程序执行到了哪里。我们来测试一下fork是否真的会创建一个新的进程。我们来看以下代码运行结果我们可以看到,在fork之前的程序只运行了一次,但是在fork之后的语句运行了两次,
Linux】基本指令(中)
输入的最佳方式是输出!✧⁺⸜(●˙▾˙●)⸝⁺✧
04-24 463
继续讲解Linux中基本指令
统计服务器CPU、内存、磁盘、网络IO、队列、数据库占用空间等等信息
刘大猫
04-25 633
统计服务器CPU、内存、磁盘、网络IO、队列、数据库占用空间等等信息。
linux】Chrony服务器
2301_78044462的博客
04-25 1068
简介简介1.1时间的重要性由于IT系统中,准确的计时非常重要,有很多种原因需要准确计时:在网络传输中,数据包括和日志需要准确的时间戳各种应用程序中,如订单信息,交易信息等 都需要准确的时间戳1.2时区时区Time Zone)是地球上使用同一个时间的区域,由于世界各国家与地区经度不同,地方时也有所不同,因此会划分为不同的时区。常见的时区UTC整个地球分为二十四时区,每个时区都有自己的本地时间。
【Web应用服务器_Tomcat】三、Tomcat 性能优化与监控诊断
最新发布
qq_58611691的博客
04-28 866
通过上述 Tomcat 性能优化与监控诊断方法,在 CentOS 7 系统下能够有效提升 Tomcat 的性能表现,保障 Web 应用的稳定运行。从 NIO Connector 的应用、发布流程优化,到 Prometheus 等监控工具的集成以及日志审计配置,每一个环节都对 Tomcat 的性能和可维护性有着重要影响。在实际应用中,需要根据具体业务需求和服务器环境,灵活运用这些方法,并持续监控和优化,以确保 Tomcat 始终处于最佳运行状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值