linux——挖矿程序处理

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量3.6k 收藏 7
点赞数 2
分类专栏: linux 文章标签: linux 挖矿 CPU消耗异常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunfragrence/article/details/84972684
版权

记一次挖矿程序入侵以及解决实操!

1,过程记录

系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。

无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。

使用crontab -e查看当前系统的定时任务信息,如下:

显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下:

很明显,这是一个恶意脚本,定时检查下载,并杀掉系统其它部分进程。

并且定时任务文件显示的内容和redis有关,立马联想到前端时间刚安装的redis,存在的安全漏洞问题!(之前安装redis都是在局域网中,现在使用云服务器把密码设置给忘了。。。)

2,解决思路

1,crontab -e查看系统定时任务是否有恶意下载链接

2. top命令查看当前耗CPU进程&
最低0.47元/天 解锁文章
sunfragrence
关注
专栏目录
一键查杀linux挖矿脚本,这几个linux命令或许帮您查杀挖矿病毒
weixin_36307344的博客
04-30 3625
最近受类似于比特币及区块链技术的影响,有些云服务器被攻入,植入挖矿病毒,利用你的云服务器来挖矿。本文就阐述几个常用的linux命令,假如你碰到这样的病毒,这些linux命令可能会有些帮助。这些命令并不完全是删除挖矿病毒的一种方面,它们更多的是一种通用的解决问题的方法,不单单局限于挖矿病毒。解决方法本文以这个挖矿进程来举例3798 root 20 0 386m 7852 1272 S...
linux 处理挖矿
an74520的专栏
04-07 1380
查看crontab watch crontab -l 发现有定时脚本 以下是脚本内容 删除crontab挖矿脚本配置,并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6868
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 691
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linux 保活 脚本,利用Confluence最新漏洞传播的Linux挖矿病毒seasame
weixin_42631411的博客
05-04 583
一、现象描述近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasame。...
Linux服务器被挖矿解决办法
qq_40939094的博客
01-08 2683
记录一次Linux服务器被挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9958
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,记录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
显卡机器linux 6卡挖矿,显卡挖矿是什么意思?购买显卡矿机应该注意什么?
weixin_42363600的博客
05-14 1014
提到挖矿,很多人都比较感兴趣,众所周知,挖矿是除了直接交易数字货币之外,获取数字货币的唯一途径,而挖矿会根据不同的数字货币定义成不同的挖矿形式,比如说最近比较火的流动性挖矿,就是投资者抵押或锁定加密货币以换取报酬的做法,还有就是本文要说的显卡挖矿,下面小编就给大家通俗的讲解一下显卡挖矿是什么意思。显卡挖矿是什么意思?显卡挖矿其实就是用显卡去挖比特币,让显卡高负荷工作挖,淘汰了的就成了矿卡,矿卡一般...
linux 服务器CPU挖矿的一个解决方法
m0_51789083的博客
04-04 2151
发现 敲代码的时候阿里云来了个电话,说你的服务器疑似挖矿,还发了个邮件, 人直接懵了,就去阿里云看看,一看cpu直接一直100%, 开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键) 还发了安全警告 解决过程 上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除挖矿病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪
Linux环境下通过shc安装的CoinMiner
m0_60571990的博客
03-08 278
Linux环境下通过shc安装的CoinMiner
linux服务器被挖矿解决办法
白雪少年
09-07 9495
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
服务器被挖矿后如何排查处理
热门推荐
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
Linux 病毒kdevtmpfsi被挖矿解决办法(三),因为又出现挖矿病毒文件了,所以需要继续查找源头
80后大叔爱学习
02-01 943
grep -r "newdat.sh" /*
记一次linux挖矿木马的处置
beichenyyds的博客
09-15 4453
linux服务器挖矿木马处置
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7070
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
linux系统挖矿木马清理流程
qq_42430287的博客
04-12 1074
一、查看cpu占用率 如果您的主机CPU占用率居高不下,那么主机很有可能已经被植入了挖矿木马,会影响服务器上的其他应用的正常运行,需要立刻上机排查。 top -c 二、清理挖矿木马 1.及时隔离主机 2.阻断异常网络通信 挖矿木马不仅会连接矿池,还有可能会连接黑客的C2服务器,接收并执行C2指令、投递其他恶意木马,所以需要及时进行网络阻断。 1)检查主机防火墙当前生效的iptables规则中是...
linux感染挖矿病毒
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒的解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统中正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值