记一次清理挖矿病毒的过程

已于 2022-07-05 16:21:20 修改
阅读量896 收藏 1
点赞数
分类专栏: 高效运维 文章标签: 服务器 linux tomcat
于 2022-07-05 16:16:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012069313/article/details/125621806
版权

目录

一、现象

网站挂掉了,查看后台服务已宕掉,无法正常重启。

二、处理

1.查看内存使用情况

在没有启动任何服务的情况下,内存已基本被耗尽:

free -h

              total        used        free      shared  buff/cache   available
Mem:           7.6G        6.4G        581M        401M        690M        640M
Swap:            0B          0B          0B

2.查看各进程资源使用情况

top

top - 11:44:00 up 389 days, 23:40,  4 users,  load average: 0.00, 0.01, 0.05
Tasks: 209 total,   1 running, 156 sleeping,   0 stopped,  52 zombie
%Cpu(s):  0.1 us,  0.2 sy,  0.0 ni, 99.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st
KiB Mem :  8008264 total,   683664 free,  6721116 used,   603484 buff/cache
KiB Swap:        0 total,        0 free,        0 used.   642776 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                                                              
 2999 root      20   0  162244   2432   1592 S   0.3  0.0   0:00.68 top                                                                                                                                  
 5303 root      30  10 3180208  56596    784 S   0.3  0.7   1791:48 xmrig                                                                                                                                
 ...

看到 xmrig 占用了资源。

3.查看计划任务

ls /var/spool/cron/
root

查看 root 文件内容:

vi root

30 21 * * * bash /usr/local/apache-tomcat-8.0.46/bin/.moneroocean/miner.sh

查看 .moneroocean 目录下文件:

cd /usr/local/apache-tomcat-8.0.46/bin/.moneroocean
ll

total 8628
-rw-r--r-- 1 root root    6983 Jun  8 03:52 config.json
-rwxr-xr-x 1 root root     375 Jun  8 03:49 miner.sh
-rwxr-xr-x 1 root root 8821240 Apr  1 09:46 xmrig

4.删除文件

cd /var/spool/cron/
rm -rf *
cd /usr/local/apache-tomcat-8.0.46/bin/
rm -rf .moneroocean/

5.杀掉 xmrig 进程

查找所有的 xmrig 进程并杀掉:

ps -ef | grep xmrig

6.重启服务

最好重启下服务器再重启服务,此时服务已正常。

奔跑吧邓邓子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒
Jeson的博客
07-13 2883
突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!! 1、首先执行 top 命令查看具体占用 果然不出所料,中了挖矿病毒,下面开始清除 2、直接杀死进程 kill -9 22408 发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程 3、开始查找文件 find / -name xmrig 找到文件目录:/root/skypool/xmrig 4、进入看一下文件详情 cd /root/skypool ls 果然是病毒文件 5、进行删除处理 r.
清除xmrig病毒
gr13811787801的博客
05-25 7736
起因:2021-05-20日和21日公司的阿里云服务器发出报警提醒,有异常登录,由于外出工作没有及时查看和处理,直到21日下午查看时发现是有人暴力破解了服务器密码并成功登陆,这使我很震惊,毕竟阿里云也是有一定防护措施的,我们的密码也是随机生成的,得佩服一下这个黑客。登录的ip是两个国外地址,一个是新加坡(54.179.10.190)另外一个是博阿努瓦(51.222.40.232),赶紧对这两个ip进行拒绝登陆,可气的是这厮竟然修改了我的阿里云服务器的root登录密码,我不知道这个是怎么做到的,毕竟阿里云的r
清理linux上c3pool挖矿病毒xmrig
最新发布
sulei627719296的博客
04-25 596
因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除。检查是否有相关的定时任务,如果有定时任务则删除掉。找到所有相关的服务,全部删除。
《应急响应》一次“XMR门罗币挖矿木马病毒”处置
1
11-03 2069
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
彻底清除Centos xmrig木马(普通用户情况)
桂圆的博客
04-14 1万+
文章目录一、排查:二、解决三、后序 情况: 开发同事报update用户连接不上系统,故此上服务器查看 由于是docker建立的系统没怎么在意安全,密码设置很简单 一、排查: # su - update 发现密码已经错误 # top ![top命令查看](https://img-blog.csdnimg.cn/20210414183615426.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cH
xmrig病毒查杀方法
story-xu的博客
11-19 7861
xmrig病毒查杀报告 一、中毒服务器列表: 192.168.. 二、服务器中毒现象 1、服务器CPU占用异常,如下图: 2、存在异常进程: 三、病毒源 发现如下明显的病毒脚本: 四、查杀过程 1、按照使用cpu对进程进行排序,找到靠前的几个进程: ps aux |sort -rn - k +3|head -n 20 2、找到比较特殊的进程名,如:2.2图 3、杀掉相关进程 4、检查是否有定...
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 2757
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
酷炫病毒清理
07-02
酷炫病毒清理酷炫病毒清理酷炫病毒清理酷炫病毒清理酷炫病毒清理酷炫病毒清理
3DMAX病毒清理by trykle.mse
05-11
3DMAX病毒清理by trykle,包含制作中卡,一些清楚不掉的物体
64位AUTOCAD2011病毒清理
08-15
描述中提到的“64位AUTOCAD2011&12 LSP病毒清理(ACAD)与预防工具ARX”,LSP全称为“Language Specific Package”,在AutoCAD中,它是一类特殊的动态链接库(DLL),用于扩展AutoCAD的功能。当LSP文件被病毒感染时,...
YS-M3语音播放模块资料.zip
08-10
YS-M3语音播放模块使用注意事项以及使用手册,详细介绍了在使用过程中避免出现的大电压状况,使用时音频的命名方式,以及各种模式下如何使用该模块
电脑病毒、广告清理插件工具(100%清除)
09-23
可以检测到市面上的安全软件检测不到的木马、病毒 弹窗广告。屏蔽flash等广告,亲测100%清除,再也没有广告弹窗的烦恼。完全免费使用 云查杀系统完全免费,无须任何费用,无任何功能限制。 查杀各类网页木马 一款...
工业环境勒索与挖矿技术专项解决方案.pptx
01-22
勒索病毒是一种常见的网络攻击,为了防范勒索病毒,可以采取以下措施: 安装并更新防病毒软件:及时更新防病毒软件,定期扫描计算机。 不要轻易下载不明来源的附件或文件。 避免使用未经验证的外部设备或存储介质...
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1741
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除服务器上的挖矿病毒
阿里云服务xmrig进程占用CPU100%问题解决
馮同学的博客
11-21 5556
阿里云中挖矿病毒xmrig,导致CPU使用率100%问题1、问题描述2、解决步骤 1、问题描述 最近买了一台阿里云轻应用服务器,安装完环境后,没多久CPU开始出现飙升,查看了CPU的使用情况,发现xmrig进程占用CPU较高,网上找到了一篇文章解决了,非常感谢博主,原文链接https://blog.csdn.net/sinat_40936086/article/details/117983636 也在这里录下,方便自己后期学习。 CPU使用情况,具体如下图: 2、解决步骤 2.1 查找进程 top
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 2766
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
小白被挖矿木马整emo的一天
A_991128a的博客
02-20 632
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。kswapd0占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0,而是木马程序伪装的[kswapd0],专门骗我这种小白)可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349cpu降下来了。。。
xmrig挖矿病毒彻底清除
03-20
xmrig挖矿病毒是一种恶意软件,它会利用受感染计算机的资源进行加密货币挖矿,导致计算机性能下降和电费增加。为了彻底清除xmrig挖矿病毒,你可以按照以下步骤进行操作: 1. 更新杀毒软件:确保你的杀毒软件是最新版本,并进行全盘扫描。如果你没有安装杀毒软件,建议先安装一个可信赖的杀毒软件。 2. 断开网络连接:为了防止病毒继续传播和更新,断开计算机与互联网的连接。 3. 手动删除文件:使用杀毒软件或者手动查找并删除与xmrig挖矿病毒相关的文件。这些文件通常位于系统目录、临时文件夹或者启动项中。请注意,手动删除文件可能需要一些技术知识,如果你不确定,请寻求专业人士的帮助。 4. 清理注册表:打开注册表编辑器(regedit),搜索并删除与xmrig挖矿病毒相关的注册表项。在删除注册表项之前,请备份注册表以防止意外发生。 5. 恢复系统设置:xmrig挖矿病毒可能会修改系统设置,导致一些功能异常。你可以通过还原系统设置或者重新安装操作系统来恢复正常。 6. 更新系统和软件:确保你的操作系统和软件都是最新版本,以填补安全漏洞,减少被病毒感染的风险。 7. 加强安全意识:避免点击可疑链接、下载未知来源的文件,定期备份重要数据,使用强密码等措施可以提高计算机的安全性。 请注意,以上步骤仅供参考,不同的病毒可能有不同的传播方式和清除方法。如果你对操作不确定或者无法清除病毒,请咨询专业的计算机安全人员或者技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑吧邓邓子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值