Linux挖矿程序的查杀

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量503 收藏 6
点赞数 9
分类专栏: Linux 病毒查杀 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011993212/article/details/134684841
版权

        最近公司的云服务器遇到挖矿程序植入,杀掉进程都会自动重启,找了服务器提供商,居然是让我重置服务,无语~

        经过半天的研究终于找到搞定了,接下来把处理方式分享出来,其实也很简单

        挖矿查杀步骤

  1. 通过top查询进程ID,kill -9 杀掉进程,如果进程杀掉自启动,执行步骤2

  2. 通过ls -l /proc/[pid]/exe 来查询程序执行文件位置,删掉文件

  3. 如果执行文件无法找到,那么说明挖矿程序进行了伪装,使用cd /proc/[pid] 进入到进程目录

  4. 使用cat status查看该进程父进程,参考步骤1,2的方法处理掉父进程即可

kulachi
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux挖矿程序清除
延成的博客
09-01 1012
【代码】Linux挖矿程序清除。
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1391
Linux处理挖矿病毒。
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1447
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6381
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 1825
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
liunx挖矿程序排查思路
凯歌响起的博客
10-23 2122
最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下:安全告警邮件。
服务器Linux挖矿清除过程
xiaojianzhao的博客
03-04 1866
发现过程 ps命令查看该进程详情(xx代表进程编号PID) ps -ef | grep xx 发现在/tmp/j, cd 到该目录下 查看当前用户计划任务,因为挖矿病毒一般会定时启动 crontab -l 如果以上均为查到病毒进程脚本的存储位置,继续执行systemctl命令查看进程详情(xx代表进程名称) systemctl status xx systemctl status xx 上shodan查一下IP地址 ip 地址:139.99.124.170 服务器上发现的连接到的是80端口,钟馗之
lifecalendarworm蠕虫病毒 Life Calendar查杀 蠕虫查杀 蠕虫病毒查杀 挖矿蠕虫查杀工具
03-09
lifecalendarworm挖矿蠕虫查杀工具 内含三款病毒查杀工具,都是国外知名软件,国内软件就不推荐了 Lifecalendarworm是一种恶意软件,也被称为"Life Calendar"或"LimeRAT",它是一种后门蠕虫,可以允许攻击者远程...
LINUX顽固病毒查杀
08-19
LINUX顽固病毒查杀,管理员必备。LINUX顽固病毒查杀,管理员必备。
Linux下如何查杀stopped进程详解
09-15
Linux操作系统中,管理和控制进程是日常运维工作的重要部分。当遇到"Stopped"状态的进程时,这通常意味着进程被挂起,等待特定事件或信号才能继续执行。本篇文章将详细解析如何在Linux环境下查找并终止这些挂起的...
linux下的webshell查杀工具
04-03
一款好用的linux下的webshell查杀软件。linux下的webshell查杀工具很少,所以这里分享出来。用于发现服务器上的web后门 官方网站地址:https://www.shellpub.com
linux系统webshell查杀.7z
12-09
Linux环境下,Webshell的查杀是维护网络安全的重要环节。本文将深入探讨Linux系统中如何有效地检测和清除Webshell。 首先,我们需要了解Webshell的常见形式和特征。Webshell通常是一段脚本代码,可以是PHP、...
【安全】查杀linux挖矿病毒 kswapd0
飞的博客
04-11 2085
按照腾讯云报道,此次攻击为“亡命徒(Outlaw)僵尸网络”该僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。高cpu占用,使用top命令查看cpu使用率长时间50%以上,cpu占用异常的进程八成就是挖矿病毒进程。此病毒隐藏了自己,top命令无法查看到挖矿病毒进程,可通过sysdig命令找到隐藏进程。注意,该进程有子进程spamd child,需要一同清理,否则会再次重启。同时检查如下目录,将可疑文件清理掉。
linux服务器挖矿程序xmrig入侵以及解决方案
热门推荐
weixin_46575363的博客
09-03 1万+
记一次Xmrig挖矿木马排查过程 2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器挖矿软件入侵了,马上打开电脑查看 控制台CPU占用 原因分析与解决方案 寻找原因 查找挖矿进程 top -H 从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名) 查找挖矿程序文件位置 root@xxx:/# find / -name ‘xmrig’ /root/.c3pool/xmrig --config=/root/.c3pool/config.json 我们尝试kill掉
【安全】查杀linux隐藏挖矿病毒rcu_tasked
飞的博客
10-25 2642
这是黑客使用的批量蔓延病毒的工具,通过如下脚本实现。
挖矿”病毒排查处置方法
瓦罗兰特顶级C位的博客
12-26 1260
挖矿病毒被植入主机后,利用主机的运算力进行挖矿,主要体现在CPU使用率高达90%以上,有大量对外进行网络连接的日志记录。
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Linux服务器发现挖矿程序清除办法
qq_33820379的博客
06-17 2396
1.查看目录是否有/tmp或者/temp可疑文件,删除文件,如果文件不是可删除的则使用chmod,如果chmod不行,查看llattr /tmp , 带i是无法删除的,请自行百度 执行以下命令移除i:chattr -i kthrotlds name php systemd .systemd-analyze .systemd-login thisxxs watchdogs xc.x86_64 ...
Linux服务器挖矿排查
gaga0714的博客
02-19 178
是一个临时文件存储区,通常用作共享内存,其内容在重启后会消失。输入su后输入密码 进入root。
linux挖矿病毒查杀
09-10
查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS记录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS记录被修改,可以通过还原DNS记录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS记录是否被修改、停止计划任务等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值