## 记录一次简单的xmrig挖矿程序清理

最新推荐文章于 2024-07-28 00:42:26 发布
最新推荐文章于 2024-07-28 00:42:26 发布
阅读量4k 收藏 2
点赞数
分类专栏: 闲散日常 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42422547/article/details/116654740
版权

记录一次简单的xmrig挖矿程序清理

晚上闲着没事逛逛网站无意间发现cpu居然一直处于99.9的状态。
5.9
linux服务器,2核4G contos 7
小白一枚,还在纳闷是什么东西占了这么多的资源开始排查
1.使用putty登录后,top命令查看占用比较高的进程是啥,打开发现是xmrig这个进程,查了下资料说这个是个挖矿程序,在这里插入图片描述
2,记下它的进程号去找文件位置
ls -l /proc/进程ID/exe 查看进程文件的位置
3,杀掉进程
kill -9 进程id 删除进程文件。
对于处理这种事情没什么经验,特意又查了一下资料。有的是删除了进程之后,第二天又出现了挖矿程序,是因为定时任务里存在定期执行的下载脚本任务。
4,查看是否存在未知用户的或者非本人设定的定时任务
crontab -l 列出所有的定时任务,不指定用户的情况下列出当前用户的所有任务
我是用的是root用户登录的,查看了下,没有像那样的下载任务,但是!有两个定时任务看不明白
在这里插入图片描述
没有查到相关资料是这两个的,而且在root的文件夹下没有找到.ICE-Unix和另一个文件夹。so只能暂时搁置。
5. 修改服务器的ssh默认端口。
安全起见在控制台关闭了其他用不到的所有端口,只保留的常用的端口

现在来说算是基本上清除完成了。留下的两个坑无力解决,只能再查查相关资料了。等第二天看看会不会再出现这个挖矿程序吧

木子不木啊
关注
专栏目录
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4050
在linux服务器上彻底清除xmrig挖矿病毒
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 7352
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
根除矿机病毒xmrig
最新发布
qq_19582693的博客
07-28 826
根除xmrig矿机病毒
xmrig病毒的清理
qq_41957174的博客
01-18 3918
xmrig病毒的清理
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 3136
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
清除xmrig病毒手记
gr13811787801的博客
05-25 7825
起因:2021-05-20日和21日公司的阿里云服务器发出报警提醒,有异常登录,由于外出工作没有及时查看和处理,直到21日下午查看时发现是有人暴力破解了服务器密码并成功登陆,这使我很震惊,毕竟阿里云也是有一定防护措施的,我们的密码也是随机生成的,得佩服一下这个黑客。登录的ip是两个国外地址,一个是新加坡(54.179.10.190)另外一个是博阿努瓦(51.222.40.232),赶紧对这两个ip进行拒绝登陆,可气的是这厮竟然修改了我的阿里云服务器的root登录密码,我不知道这个是怎么做到的,毕竟阿里云的r
一次xmrig挖矿病毒排查日记
weixin_43831977的博客
02-23 1348
一台运行了好久的服务器CPU使用率达到100%,脑海中第一个想法就是中病毒了,于是开始了我的杀毒之旅。 解决方案 登录服务器查异常进程 top -c 可以发现有个名为xmrig的进程CPU使用率98.7% kill掉异常进程 经过top命令发现异常进程的pid,通过kill命令杀掉进程 kill -9 15866 删除危险文件或目录 经过top命令发现异常进程的执行目录,删除危险目录 rm -rf c3pool/ 检测 可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 3633
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
xmrig挖矿病毒怎彻底清除
03-20
xmrig挖矿病毒是一种恶意软件,它会利用受感染计算机的资源进行加密货币挖矿,导致计算机性能下降和电费增加。为了彻底清除xmrig挖矿病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新...
linux清除xmrig挖矿病毒
07-22
以下是清理流程的一个大概指南: 1. **安全模式启动**:重启计算机并进入安全模式,这有助于防止病毒在正常启动过程中运行。 ```shell boot-repair && reboot ``` 2. **检查病毒进程**:打开终端,...
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
xmrig病毒查杀方法
story-xu的博客
11-19 7938
xmrig病毒查杀报告 一、中毒服务器列表: 192.168.. 二、服务器中毒现象 1、服务器CPU占用异常,如下图: 2、存在异常进程: 三、病毒源 发现如下明显的病毒脚本: 四、查杀过程 1、按照使用cpu对进程进行排序,找到靠前的几个进程: ps aux |sort -rn - k +3|head -n 20 2、找到比较特殊的进程名,如:2.2图 3、杀掉相关进程 4、检查是否有定...
网络安全-挖矿病毒XMrig miner
L120305q的博客
04-05 855
挖矿病毒XMrig miner
彻底清除Centos xmrig木马(普通用户情况)
桂圆的博客
04-14 1万+
文章目录一、排查:二、解决三、后序 情况: 开发同事报update用户连接不上系统,故此上服务器查看 由于是docker建立的系统没怎么在意安全,密码设置很简单 一、排查: # su - update 发现密码已经错误 # top ![top命令查看](https://img-blog.csdnimg.cn/20210414183615426.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cH
记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!
Jeson的博客
07-13 3017
突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!! 1、首先执行 top 命令查看具体占用 果然不出所料,中了挖矿病毒,下面开始清除 2、直接杀死进程 kill -9 22408 发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程 3、开始查找文件 find / -name xmrig 找到文件目录:/root/skypool/xmrig 4、进入看一下文件详情 cd /root/skypool ls 果然是病毒文件 5、进行删除处理 r.
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3843
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本中进行修改的 PermitRootLogin、R.
xmrig挖矿病毒解决
yuguang的博客
11-20 1万+
1、问题排查显示 1.1服务器中情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值