记一次挖矿病毒清除经历

最新推荐文章于 2024-07-25 14:37:13 发布
最新推荐文章于 2024-07-25 14:37:13 发布
阅读量1.4k 收藏 10
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39680564/article/details/104747443
版权

一、问题

一早收到阿里云报警通知短信,说是服务器受到挖矿病毒攻击。
在这里插入图片描述

二、解决思路

2.1 top查看进程

先登上服务器查看当前服务器进程,一看四个CUP的空闲率全部为0,有一个进程占用了将近400%的使用率,先杀掉进程。
在这里插入图片描述

2.2 删掉守护脚本

一般这种病毒是一个程序,然后会有一个守护脚本来防止你杀掉他。
果然杀掉没多久,这个叫Macron的进程又出现了,首先找到这个病毒程序位置,然后删掉它
在这里插入图片描述
在这里插入图片描述
进入/usr/bin目录,将今天创建的脚本文件全部删掉
在这里插入图片描述
发现文件给锁住了,不给删除。用chattr -i 文件名解锁被锁住的文件,然后再删除。
在这里插入图片描述

2.3 查看其他文件

find / -maxdepth 1 -newermt "2020-03-09"命令查看今天修改了那些目录。ll -at按时间排序,挨个排查掉今天改动过的文件,防止黑客留后门。
在这里插入图片描述

crontab -l :查看定时任务
crontab -l -u xxx 查看指定用户的定时任务
/etc/hosts:文件查看主机解析,添加了好多主机地址。
在这里插入图片描述
/etc/passwd:查看有没有创建用户
/root/.ssh/authorized_keys:查看有没有免验证登陆的主机
less /var/log/secure | grep Accepted:查看登陆服务器的IP

可以查看到一个陌生的IP于4:28登陆我的系统

Mar  9 04:28:51 iZ8vbb3mz6nouzleylfgi9Z sshd[6695]: Accepted password for root from 39.100.138.138 port 58852 ssh2

less /var/log/messages :查看系统操作日志

通过pid查询运行的程序

[root@prd ~]# ls -al /proc/6977/exe 
lrwxrwxrwx 1 root root 0 Nov  8 12:41 /proc/6977/exe -> /opt/jdk-1.8/jre/bin/java

三、再次中招

2020/4/7 刚刚清明节放假回来第一天,打开Grafana监控,发现有一台服务器的CPU占用已经100%。

在这里插入图片描述
进入对应服务器top命令查看,kswapd0进程CPU占用率796%
在这里插入图片描述
ps查看不到该进程的位置
在这里插入图片描述
怀疑该病毒在docker容器内运行,查看docker状态,找到一个容器异常
在这里插入图片描述
进入改容器 查看该进程的执行程序在哪里
在这里插入图片描述
find / -newermt '2020-03-01 16:34:00' 查找三月一号之后创建的文件,看看黑客留了那些后门

四 依旧是你

2020/4/10 熟悉的名字又出现了
在这里插入图片描述
这次准备彻底清查一下

  • 查看历史命令vim /root/.bash_history

发现一段异常操作,按照上下文的命令推算,因该是第一次发现这个病毒之前。很明显是黑客部署病毒的操作。但是又不是这个病毒名字。
在这里插入图片描述

初步感觉是上回留的后门没有清干净

无可奈何

在这里插入图片描述
2020/4/13他又回来,小弟已经对他无可奈何了,只能遇到一次杀一次了。各位大佬有没有什么方法可以留言给我,万分感激

刘李404not found
关注
Window应急响应(四):挖矿病毒
08-05 5104
0x00 前言 ​ 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。 0x01 应急场景 ​ 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。 0x02 事件分析 ...
清除挖矿程序(sysupdate, networkservice进程)
weixin_43960618的博客
08-15 557
1. top查看cpu使用状态 我们发现有两个进程cpu占用都超过100%了,而且我们也并不知道他是干嘛的。 2.通过进程号查询位置 ls -l proc/{进程号}/exe 3.干掉挖矿进程 kill -9 6249 kill -9 6292 4. 删除挖矿程序 主要包括networkservice、sysguard、update.sh、config.json,sysupdate 直接删除可能无法删除,需要先执行 chattr -i chattr -i networkse.
挖矿病毒的处理
hg00_11的博客
06-16 771
https://www.cnblogs.com/heian99/p/12865374.html
挖矿病毒应急处置
2301_77977773的博客
07-22 1737
windows server2016虚拟机(切千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
阿里云服务器中挖矿病毒处理方法,centos7
cy3329520的博客
01-21 2475
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿病毒。 然后我查资料,说是先通过 /proc/pid/exe 找到进程路径,但是我查了,直接报exe目录是空的。 这就神奇了,和网上说的不一样。是不是情况不一样。 然后我去看了定时任务:crontab -e 发现新增的一个定时器,名字叫.systemd-service.sh。 然后sh逻辑是显示一串类似秘钥的东西。 所以这个挖矿病毒的逻辑应该是通过redis的6379端.
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1816
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
一次挖矿病毒清除,欢迎来讨论
CSDNyingying的博客
01-26 1839
一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
一次清除Linux挖矿病毒经历(sysupdate, networkservice进程)
daiyuhe的博客
07-16 2万+
起因 闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。 sysupdate? 系统更新?我好像也没开启自动更新啊 networkservice? 网络服务???WTF???? 接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。 清除的过程 使用top已...
一次unraid中毒经历(xmrig)
qq_30769517的博客
07-11 1122
最后决定按文件修改时间来看被修改的项,同时一一修复(蓝框中均为 3:05分,截图时在我删除文件后)再把ssh中公钥、密钥删除,避免被远程连接,删除wireguard文件夹。成功,CPU功耗马上下降,但是几分钟后,CPU负载马上起来,重启也没用。删除文件及文件夹后重启即可,恢复正常(也许今晚又被拉满,不是)先清理u盘中config下go文件,去掉wireguard。重启后还能继续运行,查看unraid系统日志。root执行,没找到对应日志,先将小主机关机,下班再研究。查看定时任务,也没有异常。
溯源系列:溯源案例一
weixin_54626591的博客
01-06 1346
溯源案例一
挖矿病毒清理
chunhua1026的专栏
09-01 2542
前言: 今天登录vCenter,发现公司虚机一片告警,很罕见的场景~ 操作步骤: 首先通过SecureCRT或XShell登录目标虚机,也可通过cmd窗口:ssh root@10.6.6.*登录。 查看是否中毒,执行top命令 本次以10.6.6.52这台虚机为例,cpu 4核,如下图所示,这是中了挖矿病毒的截图,第1个进程将4核cpu全部占满,command为一段随机字符串。如果top显示并没有此进程,恭喜你并未中招,下面的章节忽略就好。 另一个检查方法,查看是否有此文件:/opt/unixdb
常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
热门推荐
story-xu的博客
08-09 3万+
常见挖矿病毒处理方法 1、常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 2、病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动。 中毒案例:(……) 3、病毒名称:S01wipefs 现象:占用超高CPU,无定时任务,但是病毒源文件存放在较多位置,比较难清除干净。 中毒案例:(……) 4、病毒名称:acpidtd 现象:占用超...
应急响应-Windows-挖矿病毒
Sgirll的博客
05-14 498
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。
linux挖矿病毒分析
清扬叶
04-01 1527
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。 处理问题: 使用top查询到networkservice和...
挖矿病毒揭秘:潜伏在网络中的数字淘金者
最新发布
hljdengbaoceping的博客
07-25 210
在数字时代,有一种特殊的恶意软件正悄然蔓延,它不窃取你的照片或文件,而是暗中占用你的计算机资源来挖掘加密货币,这种软件被称为“挖矿病毒”。一、挖矿病毒的定义挖矿病毒是一种恶意软件,其设计目的是利用受害者的计算机算力来非法开采比特币、以太坊等加密货币。与传统的勒索软件或间谍软件不同,挖矿病毒的目标在于“偷取”计算资源,而非直接窃取数据或勒索金钱。同时,它还会消耗大量的电力,为受害者带来额外的电费支出。安装安全软件:使用可靠的防病毒软件,并保持其病毒库最新,以检测并阻止挖矿病毒的入侵。
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
一次挖矿病毒的溯源
蚁景网安学院
12-15 1624
客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用高达99%,于是便怀疑是中了挖矿病毒
一体化运维:挖矿病毒可能正在蚕食你的IT资源
weixin_42556618的博客
06-27 2490
杜绝挖矿病毒最好的方案是采用“专业的运维平台”+“专家级技术服务”,“专业的运维平台”能帮您更好的开展预防工作、极大提高挖矿病毒发现及诊断效率。
xmrig挖矿病毒怎彻底清除
03-20
xmrig挖矿病毒是一种恶意软件,它会利用受感染计算机的资源进行加密货币挖矿,导致计算机性能下降和电费增加。为了彻底清除xmrig挖矿病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值