阿里云Centos7挖矿程序根除分析

最新推荐文章于 2024-04-23 14:16:14 发布
最新推荐文章于 2024-04-23 14:16:14 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: CentOS 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangbin0505/article/details/84898329
版权

1、top查看,找占CPU高的进程,看cpu占用率

2、使用命令ps -aux --sort=-pcpu|head -10查找,果然找到了这个程序带有Ssl 记下pid 

3、进去6646目录
    cd /proc/6646(木马pid)
)
4、用ll命令查看 
[root@izwz9hcixm5361yy4uz40az 6642]# ll
total 0
dr-xr-xr-x 2 root root 0 Dec  8 15:47 attr
-rw-r--r-- 1 root root 0 Dec  8 15:47 autogroup
-r-------- 1 root root 0 Dec  8 15:47 auxv
-r--r--r-- 1 root root 0 Dec  8 15:47 cgroup
--w------- 1 root root 0 Dec  8 15:47 clear_refs
-r--r--r-- 1 root root 0 Dec  8 15:20 cmdline
-rw-r--r-- 1 root root 0 Dec  8 15:47 comm
-rw-r--r-- 1 root root 0 Dec  8 15:47 coredump_filter
-r--r--r-- 1 root root 0 Dec  8 15:47 cpuset
lrwxrwxrwx 1 root root 0 Dec  8 15:47 cwd -> /
-r-------- 1 root root 0 Dec  8 15:47 environ
lrwxrwxrwx 1 root root 0 Dec  8 15:20 exe -> /x (deleted)  红色标志

5、搜索exe(删掉后,又新起来的9016程序)
[root@izwz9hcixm5361yy4uz40az 9016]# find -name exe
./task/9016/exe
./task/9474/exe
./task/9475/exe
./task/9476/exe
./exe

[root@izwz9hcixm5361yy4uz40az task]# pwd
/proc/9016/task

6、首先杀掉上面这个占CPU高的进程 kill -9 6642 

7、再使用top查看CPU,马上就降下来了。

8、删除整个程序目录。
     rm -rf /x

9、通过crontab -l 查看该用户下的所有定时任务
REDIS0006ÿܳC?V[root@izwz9hcixm5361yy4uz40az 6642]# 

10、删除定时任务
crontab -r 

11、cat /etc/passwd 检查是否有未知用户

12、检查是否对未知用户授权
[root@izwz9hcixm5361yy4uz40az ~]# find -name .ssh
./.ssh
[root@izwz9hcixm5361yy4uz40az ~]# cd ./.ssh
[root@izwz9hcixm5361yy4uz40az .ssh]# pwd
/root/.ssh
[root@izwz9hcixm5361yy4uz40az .ssh]# ll
total 8
-rw-r--r-- 1 root root 733 Dec  5 17:39 authorized_keys
-rw-r--r-- 1 root root 768 Dec  5 16:55 dump.rdb

13、到/tmp目录下查看
srwxr-xr-x 1 root root    0 Dec  8 19:25 Aegis-<Guid(5A2C30A2-A87D-490A-9281-6765EDAD7CBA)>
drwxr-xr-x 2 root root 4096 Dec  8 17:20 hsperfdata_root
-rw-r--r-- 1 root root   73 Dec  7 13:26 lua_vaForG
drwx------ 2 root root 4096 Dec  5 17:39 _MEItYmm22
drwx------ 3 root root 4096 Dec  8 19:24 systemd-private-0137a118221c45ec8cceb0fb3abcd6af-ntpd.service-rw0fcg

14、/var/spool/cron,记得留意这个文件夹,如果遇到,就把它干掉。

15、把redis删除,以普通用户身份重新安装
1)在 redis.conf 文件中找到 “# bind 127.0.0.1” ,把前面的#号去掉,然后保存。注:修改后只有本机才能访问Redis。

2)设置访问密码。在 redis.conf 中找到“requirepass ”字段后面有空格,这行前面不能后空格,在后面填上你需要的密码,Redis客户端也需要使用此密码来访问Redis服务。

3)查看redis进程ps -ef|grep redis

4)修改redis服务运行账号 

16、最后提醒下,重要的端口要改为其他端口,服务器的一些高危端口千万不要随便开启啊,如果用阿里云搭建集群的话可以配置安全组规则,针对于特定的主机开放端口,不要对所有ip开放端口。

 

参考更多https://blog.csdn.net/dabao87/article/details/81302991

tangbin0505
关注
专栏目录
阿里云里面服务器怎么样可以更好的链接数据库
m0_64068722的博客
11-26 687
环境:阿里云ubuntu服务器 阿里云RDS数据库 问题:如何在阿里云服务器的终端使用shell命令连接RDS云数据库 解决方法: 1.阿里云服务器安装MySQL sudo apt-get install mysql-server 如果出现unable to locate package mysql-server 先使用语句 sudo apt-get update 2.连接阿里云数据库 在阿里云服务器终端 mysql -u root -h RDS数据库连接地址 -p 按提示输入密..
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7910
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
Linux Contos7被植入挖矿病毒 Neflix
qq_44988088的博客
03-21 362
Linux Contos7被植入挖矿病毒 Neflix kaki的博客 问题的发生: 今天打开我的7牛云主机发现只cpu被占用100%,内存也接近80% 于是我问了7牛的客服,据7牛的工程师说是有可能被植入了挖矿病毒之类的东西。尽管我再三挽救:kill - 9 pid ,还有去清空定时器等。虽然当时可以,但过一会又自启了 最后: 于是我选择了重新装系统。。。。 总结:1.防火墙要看住 &nb...
挖矿病毒分析centos7
ntgengyf的博客
07-25 914
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3944
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本中进行修改的 PermitRootLogin、R.
Linux(centos7)常见安全、挖矿问题
最新发布
weixin_41421314的博客
04-23 1235
centos安全配置、解决挖矿问题
怎样在阿里云centos7安装xrdp进行远程桌面访问
01-09
阿里云上使用CentOS 7系统,要实现远程桌面访问,可以借助XRDП服务。XRDП(X Remote Desktop Protocol)是一个开源的远程桌面协议服务器,它允许用户通过图形化界面远程控制Linux系统。以下是一份详细的步骤指南...
阿里云Centos7.X 如何对外开放端口的方法步骤
09-14
阿里云上运行CentOS 7.x操作系统时,对外公开特定端口是必要的,以便远程访问服务或应用程序。本文将详细介绍两种方法来实现这一目标:通过阿里云控制台的安全组设置和直接在Linux系统上配置防火墙规则。 首先,...
阿里云centos7服务器搭建ftp
01-07
ftp可将用户本地代码或文件上传到服务器端 安装 yum -y install vsftpd  启动并添加到开机自启 systemctl start vsftpd // 启动服务 ...阿里云控制台添加安全组策略  修改配置文件 cd /etc/vsftp
Centos7 处理挖矿病毒初探
wolf1105的博客
08-15 7156
1、首先查看top命令下占用cpu最高的是什么进程 #top #lsof 进程名 如果是挖矿程序可以看到明显的异常 具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html 确定挖矿程序的路径以后,先kill掉进程,再删除文件 #kill -9 555 #rm -rf /tmp/wakuang.sh 2、清理定时任务 一般只...
阿里云服务器centos7挖矿病毒处理
08-05 3215
阿里云】尊敬的1*********6:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1 处理过程: 1、查找异常进程,确定病毒进程,定位病毒脚本的执行用户 2、杀掉病毒进程,注意要检查清楚,病...
清除Linux centOS7挖矿病毒
李嘉图呀李嘉图的博客
05-18 807
由于最近准备面试,所以想要在买的阿里云服务器上部署下自己的项目,发布项目到服务器上之后项目一直崩溃,一看top,有一个exin的进程占了99% 未明确该应用如何被安装到了服务器上,可能是因为docker下载其他镜像文件时,病毒被一并安装。 先杀进程(kill该进程之后i一小时之后进程会重新打开,光杀进程不够) kill -9 26136 找到运行的进程,确定进程位置为 /bin/exin $ ps -a |grep 进程号 删除程序,直接删除不成功,必须先执行 chattr -ia
记录一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1074
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 1667
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序
centos 处理挖矿病毒
weixin_44606690的博客
01-04 564
处理挖矿病毒,真的恶心啊占用CPU百分之50
centos系统清理挖矿病毒kthreaddk
极客开源之逍遥子
05-15 1970
服务器系统是centos, cpu使用超100%,找到占用cpu的进程kthreaddk, 网上一查原来是挖矿病毒。 分析解决: 找到kthreaddk进程号,kill -9 xxx , 杀掉后马上又重启,杀不死, 猜想是有定时任务,于是执行crontab -e,查看定时任务,果然存在,赶紧删掉,wq 保存 ,然后再次 kill -9 xxx杀掉; 执行top查看发现还是存在继续霸占着cpu,干不掉,继续 crontab -e查看定时任务发现换了目录文件继续存在,看来这样解决是不行的了,网上一搜有..
记一次挖矿脚本应急排查
今天是几号的博客
12-19 2079
打完靶场记得及时清理 不过通过这种方式来收集一些样本,也是一个不错的选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值