怎么检查ubuntu22.04服务器机器被挖矿了

于 2024-04-28 13:20:41 发布
阅读量1k 收藏 5
点赞数 5
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyuhua_keyboard/article/details/138275016
版权

如果怀疑你的 Ubuntu 22.04 系统被挖矿程序占用,可以通过一系列检查步骤来确认这一疑问。这些步骤可以帮助你发现系统是否存在未授权的挖矿活动:

1. 检查CPU和GPU使用率

挖矿程序通常会导致CPU或GPU的使用率异常升高。使用以下命令检查系统资源的使用情况:

  • CPU 使用率:运行 tophtop 命令。这些工具可以显示哪些进程正在使用最多的CPU资源。

    sudo apt install htop
htop

  • GPU 使用率(如果可用):对于NVIDIA GPU,使用 nvidia-smi 命令。

    nvidia-smi

2. 审查进程

检查系统中运行的进程,寻找不明进程或已知的挖矿软件名称,如 xmrigcgminer 等。

  • 使用 ps aux | grep -i [疑似挖矿进程名] 来搜索特定的挖矿进程。
  • 查看所有进程及其资源使用情况:ps aux --sort=-%mem,%cpu

3. 分析网络活动

挖矿程序需要与外部服务器(即矿池)保持通信。使用 netstatss 命令来查看所有出站连接。

  • 查看活动网络连接:

    sudo ss -tulpn

  • 或者使用 netstat

    sudo netstat -tunapl

4. 检查系统日志

查看 /var/log/ 目录下的日志文件,可能会发现与挖矿相关的异常条目。

  • 特别关注 syslog 或者 dmesg 日志:
    cat /var/log/syslog
dmesg

5. 检查定时任务

挖矿程序可能会设置定时任务以保证其持续运行。

  • 检查 crontab

    crontab -l
sudo crontab -l

  • 查看系统定时任务目录:

    ls -la /etc/cron.* /etc/crontab

6. 使用安全工具进行扫描

利用安全工具如 ClamAV 来扫描系统中的恶意软件或挖矿软件。

  • 安装并运行 ClamAV:
    sudo apt install clamav clamav-daemon
sudo freshclam
sudo clamscan -r --bell -i /

7. 监控系统启动项

检查系统启动时加载的服务和应用。

  • 查看系统服务:
    systemctl list-unit-files --type=service

执行以上步骤后,如果发现有可疑的进程、未授权的网络连接、异常的系统负载或安全工具报告中提到的挖矿软件,就需要采取措施处理这些威胁。这包括终止相关进程、移除相关文件、阻止网络连接,以及考虑全面清理系统或重新安装操作系统来彻底消除威胁。同时,建议加强系统安全配置和定期监控,防止未来的安全威胁。

MonkeyKing.sun
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 1576
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序。
ubuntu22.04lts服务端安装桌面离线包
08-03
Ubuntu 22.04 LTS (Jammy Jellyfish) 中,系统默认为服务器版本,不包含图形化桌面环境,主要是为了优化服务器性能和资源利用。然而,有时我们需要在服务器上进行图形化操作,比如远程桌面管理或者进行图形化配置...
Ubuntu清除挖矿病毒的一次记录
OTZ_2333的博客
02-24 3884
第一次遇到服务器被别人入侵挖矿,在专业人员的帮助下找到并清除了挖矿病毒。这篇博客只是我的一个记录,不一定适用所有的情况,不过还是希望能给大家一定帮助。 发现问题:有程序使用了大量的GPU资源,询问了账号的主人发现并不是ta的程序,而且使用root身份kill后会自动重启。 此外,通过ps -aux命令显示,该程序的命令为一个文件夹,用过conda的人都知道/bin下面的python是一个可执行文件,而非文件夹;跟别说里面有一个pytorch文件夹 并且文件夹anaconda3根本不存在,该服务器装的
ubuntu主机被挖矿——排查与应急响应
4pri1
08-03 2464
说来话长,昨天晚上想搞个自动发短信提醒的平台,偶然间看到腾讯云给我发的站内信, 我直接好家伙,半个月了,我才发现,赶快去看了看我的控制台cpu负载 直呼好家伙,这显然是被挖矿了啊,挖了半个月了,让你再挖一晚上吧,于是第二天早上开始了应急响应。 首先查看腾讯云监控的信息, 定期登录看看我?伤害不大,侮辱性极强 cat ~/.bash_history 看到这里想到之前做一个团队服务器时潦草建了个测试账户 看了看bashhistory, 嘶,当时雀实够潦草,顺...
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
玩人工智能的辣条哥的博客
06-21 5584
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
服务器管理】Ubuntu的一次惊心动魄的查杀挖矿病毒的经历:病毒伪装成python
陈艺荣
01-15 9799
本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程!
ubuntu清理挖矿病毒
My Struggle
02-16 1652
清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。 所谓后门,我检查了路由条目和定时任务: 是否有多出来的定时任务(非自己加入的定时任务)? 是否有多出来的路由条目? 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
[UBUNTU]挖矿病毒处理
俗科技的博客
02-03 3003
1.使用top和htop指令查看,占用cpu比较高的进程 /tmp/.weblogic/javae 1.杀掉病毒进程 kill -9 病毒进程的PID 2.删除病毒文件 rm -fr /tmp/.weblogic 3.删除tomcat下病毒远程下载程序 停止tomcat进程服务: kill -9 `pgrep java` tomcat目录/webapps/目录下只留下“项目本身的war包文件”,其他可疑的TAR包文件(病毒)和多余的文件(如docs,manager,host...
笔记本 ubuntu22.04 安装RTX3080TI nvidia显卡驱动
06-13
Ubuntu 22.04操作系统中安装RTX3080TI显卡的NVIDIA驱动需要遵循一系列步骤,以确保正确安装并避免常见的问题,如黑屏。以下是详细的安装流程: 首先,确保你的系统是最新的,这可以通过更新软件列表和安装必要的...
Ubuntu22.04 软件安装包
03-28
资源来源于自己部署沙箱时使用的,使用的是Ubuntu22.04.1版本的系统 ps: 因为安装过程涉及到依赖问题,尽可能使用下面的命令安装) 下载后解压及无错安装命令: sudo tar -xvf softbag.tar -C /var/cache/apt/...
适用于Ubuntu22.04的Gnome TopIcons Fix插件
10-08
Ubuntu 22.04系统中,Gnome桌面环境采用了全新的Gnome 42版本,带来了许多界面和功能上的改进。然而,这种更新有时可能导致一些用户习惯的功能出现问题,例如顶部状态栏图标的显示。"适用于Ubuntu22.04的Gnome ...
记一次xmrig挖矿病毒排查日记
weixin_43831977的博客
02-23 1292
一台运行了好久的服务器CPU使用率达到100%,脑海中第一个想法就是中病毒了,于是开始了我的杀毒之旅。 解决方案 登录服务器查异常进程 top -c 可以发现有个名为xmrig的进程CPU使用率98.7% kill掉异常进程 经过top命令发现异常进程的pid,通过kill命令杀掉进程 kill -9 15866 删除危险文件或目录 经过top命令发现异常进程的执行目录,删除危险目录 rm -rf c3pool/ 检测 可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 7849
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
电脑是否中挖矿病毒
Jayus001的博客
12-13 3374
矿机、挖矿病毒、挖矿、安全
Ubuntu挖矿的经历(附小白解决办法)
qingzhiwu0110的博客
11-20 4083
Ubuntu服务器挖矿历程警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了!问题:想办法解决:查Google装杀毒软件并杀毒总结 警告:请千万不要设置简单的密码,不要觉得自己的机器没人要,也不要觉得自己的机器放在学校的校园网里面很安全,否则等到出现问题再折腾就很蛋疼了! 问题: 情况是这样,服务器有一段时间没用,后来想要ssh登录的时候发现自己的账户死活登不上去,然后在2020年11月20日,ssh使用root账户登
linux服务器挖矿的解决办法
白雪少年
09-07 9246
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
记一次Linux被入侵,服务器变“矿机”全过程
yeluoxiang的专栏
06-13 4692
“周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云...
Ubuntu22.04服务器配置chromedriver
最新发布
08-24
配置 ChromeDriver 在 Ubuntu 22.04 服务器上需要以下步骤: 1. 首先,确保你的服务器已经安装了 Chrome 浏览器。你可以通过运行以下命令来安装 Chrome: ``` sudo dpkg -i google-chrome-stable_current_amd64.deb ``` 这将使用软件包管理程序安装 Chrome。 2. 接下来,下载适用于 Ubuntu 22.04 的 ChromeDriver。你可以从 ChromeDriver 的官方网站上下载最新的 ChromeDriver 版本。下载地址为: 3. 下载完成后,解压缩下载的压缩文件。你可以使用以下命令解压缩: ``` unzip chromedriver_linux64.zip ``` 4. 将解压缩后的 ChromeDriver 可执行文件移动到 `/usr/local/bin/` 目录下,以便在任何位置都可以访问到它: ``` sudo mv chromedriver /usr/local/bin/ ``` 5. 最后,你需要配置系统环境变量,以便系统可以找到 ChromeDriver。将以下行添加到 `/etc/environment` 文件中: ``` export PATH=$PATH:/usr/local/bin/chromedriver ``` 保存文件并退出。 6. 最后,重新加载环境变量: ``` source /etc/environment ``` 现在,你的 Ubuntu 22.04 服务器上已经成功配置了 ChromeDriver。 请注意,这些步骤假设你已经在服务器上安装了 Chrome 浏览器,并且根据自己的系统架构选择了正确的 ChromeDriver 版本。确保下载的 ChromeDriver 版本与你的 Chrome 浏览器版本相匹配,以避免兼容性问题。 希望这可以帮助到你。如果还有其他问题,请随时提问。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Ubuntu和Windows下ChromeDriver的安装与配置](https://blog.csdn.net/weixin_46584887/article/details/118346541)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MonkeyKing.sun

对你有帮助的话,可以打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值