linux 病毒 挖矿病毒kworkers

最新推荐文章于 2024-07-09 18:49:19 发布
最新推荐文章于 2024-07-09 18:49:19 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: 系统 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013545439/article/details/119891023
版权

修复病毒参考:

挖矿病毒kworkers修复

rm: cannot remove ‘[kworker/w/[kmsgds]’: Operation not permitted
chattr -a -e -i \[kmsgds\] 
可删除

	

可疑 持久化后门-隐藏进程
进程ID:26151
进程名称:dbus
进程路径:/root/[kworker/w/dbus
命令行:[kworker/w/dbus

可疑 持久化后门-隐藏进程
进程ID:27582
进程名称:autoupdate
进程路径:/root/[kworker/w/autoupdate
命令行:[kworker/w/autoupdate

紧急 恶意进程(云查杀)-挖矿程序
路径:/root/.git/.kworkers.new
MD5:9d294620989e33bb3ed4b3ca7e381cc0

紧急 持久化后门-自启动后门
类型:ld_so_preload
路径:/etc/ld.so.preload
内容:/usr/local/lib/libc2.28.so

紧急 持久化后门-异常进程驻留
命令行:[kmsgds]
进程ID:27634
进程名称:[kmsgds]
进程路径:/root/[kworker/w/[kmsgds]

紧急 恶意进程(云查杀)-挖矿程序
路径:/root/[kworker/w/dbus
MD5:ebe75a4239967e962b479a8b576b2eda
进程ID:26151

紧急 恶意进程(云查杀)-挖矿程序
路径:/root/.git/kworkers
MD5:d5adce057c923b6cbcf23533e9d5e432
进程ID:26671

紧急 恶意进程(云查杀)-挖矿程序
路径:/root/.git/kworkers (deleted)
MD5:d5adce057c923b6cbcf23533e9d5e432
进程ID:26671

紧急 恶意进程(云查杀)-挖矿程序
路径:/root/.git/dbus
MD5:5fb1d8d515f9cf17102772a4bc023e78
进程ID:15740
堂哥码财
关注
专栏目录
linux服务器中了挖矿病毒kworkers的修复经过
elvismelody的博客
08-15 4810
服务器出现访问异常,cpu爆红,网络请求连接超级慢。通过top命令查询,看到异常程序kworkers、dbus。百度下,是7月份新出现的病毒。 看了下原理,清理步骤如下: 一、删除程序目录 病毒启动脚本loader.sh通过系统漏洞,把病毒程序下载到tomcat目录下的bin目录的git文件夹里,把git文件夹删除。 二、删除cron任务 在/etc/crontab,把异常的cron任务删除掉 三、删除隐藏进程脚本 病毒启动挖矿进程时自动载入链接库实现进程隐藏,该链接库叫libc2.28.so
linux kthread_worker与kthread_work
子木
01-17 1985
简述 kthread_worker就像是一个工作者(员工,工人),kthread_work就像是需要工作者去完成的工作。将需要完成的工作打包成kthread_work,然后交给kthread_worker去完成。 1、kthread_worker,kthread_work结构体类型,以及后面出现的API,都声明在include/linux/kthread.h中,如下: struct
Linux中的kworker进程
最新发布
Dannyshuai的博客
07-09 378
Linux中的kworker进程
Linux服务器被挖矿程序sustse和kworkerds感染后续处理
xinxin_2011的博客
12-17 4958
在上一篇博文Linux系统发现占用CPU达100%的进程并处理 里面以为已经把挖矿程序sustse处理干净了,可是没过两天又收到阿里云短信提醒,说服务器有问题,难道还有后门吗?也多亏阿里云给出提示“出现了可疑安全事件:Linux共享库文件预加载配置文件可疑篡改”。网上查了查相关内容,原来这个后门是动态链接库预加载机制造成的。 动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式,在可...
记录一次解决kworkerds挖矿木马的过程
借你一秒
03-31 4531
1.楔子 阿里云的服务器发生了SSH链接特别慢,上去后发现CPU占用100%,好像和进程【 kworkerds】有关。停止进程后,CPU正常,稍候又会自动重启,CPU又100%。这是中毒的症状,于是记录下这个过程。 病毒kworkerds又叫挖矿,中毒的服务器一般都是现实cpu 100%。 2. 定位问题 使用Top命令查看CPU的使用情况,如下所示: 阿里云上的监视器显示如下: 很明显一个叫...
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7849
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
linux挖矿病毒分析
清扬叶
04-01 1527
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。 处理问题: 使用top查询到networkservice和...
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 527
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文记录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1382
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
linux kdevtmpfsi 挖矿病毒处理
qq_16642919的博客
02-26 481
linux kdevtmpfsi 挖矿病毒处理病毒表现新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 病毒表现 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 878
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
linux内核日志输出之kmsg和dmesg
jinking01的专栏
10-16 2201
proc/kmsg是专门输出内核信息的地方,为了能够方便的在 user space 读取 Kernel log,Kernel driver 里面将ring buffer映射到了 /proc 目录下的文件节点 /proc/kmsg。printk()打出的信息往往以 <0>…由于 Kernel log buffer 循环缓冲区只有一个读指针,所以当一个程序在读 buffer 的时候会不断的移动 buffer 的读指针,这样当有多个程序读取 buffer 的时候每个程序得到的log都不是完整的。
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7052
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
网络安全从入门到精通(特别篇II):Linux安全事件应急响应之挖矿病毒处置流程
HACKONE的博客
04-10 34
应急响应Linux应急响应之挖矿病毒处置流程 Linux应急响应之挖矿病毒处置流程
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3805
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
kworker木马处理
会哭的雨@的博客
07-14 1708
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。Redis,与研发商量 最好加上密码,矿机会在同网段扫描,一定要及时处理。 按照以下方法清理,以下命令一起执行,不要分步骤,否则没有效果,可以写成个bash脚本,随大家心情。 echo "" > /etc/crontab rm -f /etc/cron.hourly/oanacroner rm -f /etc/cron.daily/oanacroner ch...
strace命令笔记
kworkers的博客
05-31 354
strace 可以跟踪系统调用和程序收到的信号。 ``` In the simplest case strace runs the specified command until it exits. It intercepts and records the system calls which are called by a process and the signals which are received by a process. The name of each system call, it
kworker是什么,又什么用
热门推荐
lyblyblyblin的博客
02-22 6万+
名字的意思 什么时候有的 这么看 系统中查看 显示的内容怎么看 有什么用 参考名字的意思Kernel Worker什么时候有的kworker是3.x内核引入的这么看系统中查看Linux下使用 ps -ef|grep kowrker显示的内容怎么看显示的格式kworker/%u:%d%su:是unbound的缩写,代表没有绑定特定的CPU,kworker /u2:0中的 2 是 work_pool 的
linux感染挖矿病毒
01-27
根据提供的引用内容,以下是处理Linux感染挖矿病毒的解决方案: 1. 首先,使用命令行工具(如`ps`、`top`)查看系统中正在运行的进程,找出可能是挖矿病毒的进程。可以使用以下命令: ```shell ps aux | grep miner ``` 或者 ```shell top ``` 2. 找到挖矿病毒进程后,使用`kill`命令终止该进程。可以使用以下命令: ```shell kill <进程ID> ``` 3. 如果上述步骤无法解决问题,可能存在其他类型的挖矿病毒,如pamdicks病毒。此时,可以使用杀毒软件(如VirusTotal)对系统进行全面扫描,以检测和清除潜在的恶意文件。VirusTotal是一个免费的在线扫描服务,可以检测文件、域名、IP地址、URL等是否含有恶意代码或威胁。 请注意,处理挖矿病毒需要小心谨慎,建议在专业人士的指导下进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值