解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)

已于 2022-08-23 10:07:29 修改
阅读量7.3k 收藏 10
点赞数 2
分类专栏: Web/系统安全与溯源 文章标签: 服务器 linux 运维
于 2020-05-15 18:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/106146006
版权

在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。

在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。

于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。

在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。

解决办法:

1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis

2、进入/tmp文件夹下。发现qW3xT.2文件,删除。之后kill掉qW3xT.2该进程,但是一段时间之后,发现该行程又重新启动。

肯定是有守护进程,观察top命令下的进程,发现一个可疑的进行

3、在/tmp文件夹下发现该

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
记一次挖矿木马pamdicks的解决过程
qq_26147675的博客
11-19 1630
最近安装redis的时候不慎忘记了设置redis密码,导致6379端口受到挖矿病毒攻击,伪造公钥进行免密登录,种下了挖矿木马,经过四个小时的对线终于把病毒干掉,世界清静了。
记一次服务器挖矿程序占用的解决过程
热门推荐
dabao87的博客
07-31 1万+
公司有台做voip的服务器最近CPU总是跑满,这机器自从交给厂家搭好环境后基本就没怎么管它,于是进去查看进程,top了下(见下图) 这个叫wnTKYg的进程很诡异,已经把CPU吃光了,上网一查,原来是中了挖矿的马。(啊,我的天。这只是一个单核1G内存的阿里云主机)既然被***了,那就得干掉它,下面是解决过程: 1:第一步要先找到这个wnTKYg文件实体,对了还有一个叫ddg.2020的进程。 ...
linux中/etc/crontab与/var/spool/cron/crontabs/的区别
最新发布
wyx的博客
08-01 340
包含的是每个用户的个人定时任务。两者都服务于定时任务的管理,但一个是全局性的,另一个是用户特定的。定义的是系统级别的定时任务,由所有用户共享,而。
万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒
今朝歌莫言醉
10-19 3330
现象 服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了; 处理过程 1、使用top监控资源情况,发现异常,使用kill干掉了 2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则 3、查询定时任务日志 /var/log/cron,发现异常进程从某行代码开始 4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下 5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了 ..
[病毒木马] 利用 Windows 任务计划程序
LYSM
03-18 774
背景 Windows 内置了 任务计划程序 功能,在计算机管理中可以看到。 这个东西可以让你的程序在特定的条件下启动,很多病毒木马使用它在做自启动。 手动创建一个计划任务 参考:https://blog.csdn.net/weixin_43279032/article/details/90030747 使用 cmd 创建一个计划任务 参考:https://blog.csdn.net/weixin_30371875/article/details/97575358 ...
linux定时任务挖矿修改,Linux挖矿威胁情报分享(被植入计划任务)
weixin_33260484的博客
05-14 412
0、前言咳咳,安全设备直接拉黑该IP的出入,防患于未然嘛,下文进行意识流派分析总结。1、如何发现异常机子异常,首先是从虚拟机管理工具发现CPU资源异常报警,判断机子里存在恶意进程占用资源。进去机子敲打命令top查看进程资源占用top10,发现异常进程锁定进程工作目录与恶意程序位置删文件与Kill进程,恶意进程均死灰复燃。脑袋一拍,随机查看计划任务。1、计划任务crontab -l命令查看计划任务:...
CentOS7 服务器挖矿病毒 删除又重新生成处理
jnloverll的博客
04-30 2182
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/TankRuning/article/details/103527323 收起 特征如下: CPU占用一直比较高,初步分析是挖矿程序系统crontab –l显示调度列表如下: 20 * * * * /root/.aliy...
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3448
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
crontab定时任务不执行的一些原因总结
01-10
最近在工作中遇到了一些问题,crontab定时任务居然不执行,后来我在网上找的时候发现网上主要说了这5个原因: 1 crond服务未启动 crontab不是Linux内核的功能,而是依赖一个crond服务,这个服务可以启动当然也可以...
crontab定时任务不执行的原因分析与解决方法
09-15
主要给大家介绍了关于crontab定时任务不执行的原因分析与解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
php解决crontab定时任务不能写入文件问题的方法分析
10-16
这些解决方法不光适用于解决文件写入问题,也有助于分析和解决其他crontab任务执行中可能出现的问题。对于希望深入了解PHP编程和Linux crontab使用的读者来说,本文提供了一些非常实用的技巧和参考资料,例如《PHP...
Python使用crontab模块设置和清除定时任务操作详解
09-19
### Python使用crontab模块设置和清除定时任务操作详解 #### 概述 本文主要介绍如何在CentOS 7平台上利用Python与`python-crontab`模块进行定时任务的管理和控制。通过具体的示例,我们将逐步展示从环境搭建到定时...
针对挖矿病毒的简易三板斧
MSB_WLAQ的博客
09-30 1330
一. 简介 本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。 二. 实现过程(研究内容) 以linux系统为例,对中毒主机进行断网隔离后,查找挖矿病毒的基本操作: 1寻找进程,使用命令:Top 2删除进程,使用命令:kill -i PID 3删除文件,使用命令:rm -rf 后续处理:溯源分析,修补漏洞,安全加固 三. 检测方式(防御建议) 挖矿病毒特征:最大的特征就是主机的cpu资源占用,可
挖矿病毒事件
如果说你每一步都细心的话,其实你的效率是很快的
06-21 2669
昨天一台服务器发生挖矿病毒事件,现象是CPU干到100,内存剩余不多。 废话不多说直接贴图,早上时间宝贵 发现如上图一个诡异的IP 直接使用lsof 查找这个进程运行 的文件在哪,给我拉出来打 解决办法直接把进程kill 掉,然后删除文件夹 别忘记找安全部门扫描一下 ...
服务器中了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法
qq_38398347的博客
02-09 3352
通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 中执行,然后会删除 c3pool 目录。我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件。通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决病毒的方法。所以,我们将病毒进程杀掉后,再将定时任务删除就行了。打开 cron 目录中的文件后,发现了一条定时任务
服务器挖矿病毒处理之二 --------bin/x7进程开机自启动
一杯咖啡的渗透记忆
11-08 887
服务器挖矿病毒处理之一 --------kworker和netfs异常 上面之一是我遇到的第一个问题,当时以为解决了,但发现其中有三台机器只要启动后就会有bin/x7程序,很是顽固。 重启后就有问题,我查看了所有cron*的文件显示都正常的,然后再看了一下/etc/init.d里面的文件发现里面network文件的日期跟前面中毒的日期一样,打开了一搜发现有代码关于bin/x7而且shi后台执...
我的两个VPS有一个中了挖矿病毒,估计是ssh被人爆破了,看我centos linux下杀毒
xinhuanjieyi的博客
11-20 236
第十三步:登录宝塔网页后台,点“安全”,在防火墙中允许新端口通过,以确保可以正常连接到SSH服务。协议选择TCP,IP我直接指定我电脑所在的IP,这样你们闲杂人等ssh永远登录不进去了,除非模拟成我的IP,或者黑客有更高级的破解之法,但比直接爆破麻烦得多。搜索得知原来是挖矿病毒,拿我VPS来免费挖矿了,是可忍孰不可忍,拖出去斩了。现在,SSH服务将在新的端口上运行,确保更新客户端上的SSH连接设置以使用新端口。第十步:将22更改为我想要的端口号。我想这VPS算是没法用了,自认倒霉,重装系统吧,本文完。
挖矿程序的处理方式及步骤
LeeKwen的专栏
04-16 3873
概述 随着币圈市场交易的活跃,币价也被日益推高。 从BTC兑美元的在线交易平台上可以看出,BTC的价格屡创新高,这与MG的2W亿脱不了干系。 “重赏之下,必有勇夫”,在互联网圈里也同样适用啊。 所以服务器被植入挖矿程序已经不是很稀奇的事情了,很多服务器因为漏洞、弱密码、禁用防火墙等等举措,而被做了提权后,置入了挖矿程序。 如果你接收到阿里云类似于挖矿程序的报警,那就不要慌。借用一句话就是:“遇事不要慌,先拍照,发个朋友圈”。 挖矿程序的处理方式 以下,简单地说一下遇到挖矿...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值