Debian 中招挖矿病毒发现及清理记录,唉~

已于 2024-10-14 10:26:46 修改
阅读量466 收藏 5
点赞数 4
文章标签: debian 运维
于 2024-10-01 21:42:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unmobile/article/details/142674862
版权

更新:

(2024-10-14)最近发现这个挖矿的又增加新功能了,所以处理方法简述一下:
1.先删掉或修改掉程序目录(/var/tmp 下的 .ICE-unix / .apachee / .k,用户家目录下的.pki);
2.然后杀掉挖矿进程(一个占用内存最大的进程,看着像是系统进程 / 还有一个./apachelogs -c);
3.最后才能删掉计划任务中的信息;
否则这个程序会自动修复计划任务中的信息;而且程序比之前处理的多了一个.apachee,计划任务中信息变成了三行,注意辨别;

先吐槽:再次发现了一个挖矿病毒,被蹭了资源,本文也就是为了记录一下发现及解决的方法,以备后用。

系统:Debian 12 最小安装

发现:在日常监测运行状态时发现 CPU 占用超 50%,内存占用超 80%,而且长时间不降

分析

1.先查进程中占用较大的进程,我安装了 btop 工具,用这个在 TUI 下看着比较直观,也挺好看的;看到占用较大的进程程序名是 x86_64,命令是 -bash,怎么会是系统的程序?不对系统的应该不会占用这么大的资源,而且关掉了也会马上就再次运行,所以指定是不正常。

2.安装 net-tools 工具包,使用 netstat-antlp | grep -e bash -e rsync 可以看到 -bash 有网络通讯,查了一下对面地址是外国的,XXX 的。

3.看 -bash 命令是以我正常运行的普通用户权限运行的,就进去看了看计划任务 crontab -l ,发现果然有一个计划任务,并且也把程序的实际位置给找出来了:
* * * * * /var/tmp/.ICE-Unix/-bash/upd >/dev/null 2>&1

清理:既然发现问题了,就开始清理吧,最后应该修改密码了,要不然以后可能还得中;

1.先干掉计划任务中的计划任务,要不然还会再重新运行;
crontab -e ,然后删掉计划任务(或者前面加 # 号注释掉也行,等程序删掉后再删掉这行,以免忘记实际程序所在位置)

2.再查都有哪些进程 ps aux | grep bash
user      988811  0.0  0.1   8572  4052 pts/0    Ss   21:00   0:00 -bash
user      988925  0.0  0.1  10088  5672 pts/1    Ss   21:00   0:00 -bash
user      989151  202 61.5 2440852 2400252 ?     Ssl  21:02  28:45 -bash
user      989454  0.0  0.0   6560  2064 pts/1    S+   21:16   0:00 grep bash

3.干掉 -bash 的进程,注意:要干掉的是 989151 这个,因为另外两个带有 pts/0 和 pts/1 说明这两个是我正常连接的 ssh 端的正常 -bash ,这两个要是干掉,那连接也就断了

4.清理完成,此时再观察一会儿发现挖矿的 -bash 再没有重新启动,CPU 和 内存 占用恢复正常,此时就可以删掉挖矿程序与计划任务了。

挪不动
关注
debian系统下一次内存优化过程
极客栈
04-03 1273
Linux下每个进程都有个OOM权重,在/proc/<pid>/oom_adj里面,取值是-17到+15,取值越高,越容易被干掉。但是,将各进程的RSS值相加,通常会超出整个系统的内存消耗,这是因为RSS中包含了各进程间共享的内存。注意:这次只是解决了内存耗尽的问题,但可能内存耗尽不是docker容器逃逸那么简单,应该是有深层次的原因的,需要深入分析容器逃逸原因,以便后续防止此类事情再次发生。总之,总的策略是:损失最少的工作,释放最大的内存同时不伤及无辜的用了很大内存的进程,并且杀掉的进程数尽量少。
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程
lg4546的专栏
07-19 766
linux 挖矿病毒 , cpu 占用比较大 lVlgd 进程 , crontab 定时执行
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 3083
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
linux挖矿病毒清理
yb890102的博客
01-05 1535
网络安全,挖矿病毒清流,linux中毒
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1221
CentOS处理挖矿病毒 - kthreaddk
记录一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1094
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
centos 处理挖矿病毒
weixin_44606690的博客
01-04 586
处理挖矿病毒,真的恶心啊占用CPU百分之50
服务器安全警告处理(查找挖矿病毒的方法)
名猿妮的博客
04-23 1351
服务器安全警告处理(查找挖矿病毒的方法) 方法一 查找进程并强制杀死相应的进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 查找病毒文件kinsing kdevtmpfsi find / -name kinsing find / -name kdevtmpfsi 查看周期任务cron,不一定在root用户下,有可能在postgres(数据库),docker(容器),PHPTest(PHP单元测试) cd /var/spool/
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 871
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
Debian及Centos怎么下载软件包及依赖包
太极淘的博客
11-08 2391
Debian及Centos怎么下载软件包及依赖包
Debian配置本地apt源及基础配置
新时代先锋的博客
03-27 8733
Debian的NetworkManager和networking服务之间的冲突可能是由于它们都试图管理网络连接。NetworkManager是一个网络管理器,它可以自动检测和配置网络接口,而networking服务是一个传统的网络配置工具,它需要手动配置网络接口。例如,如果NetworkManager检测到网络接口并自动配置它,而networking服务尝试手动配置相同的接口,则可能会导致配置冲突和网络故障。如果您想使用NetworkManager,则可以禁用networking服务,反之亦然。
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 933
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1767
没成功,只是记录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
一起linux虚机感染挖矿病毒对外恶意传播的处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-04 1275
问题描述 虚机因对外恶意发包,被云服务提供商封堵22端口,导致无法ssh;通过修改ssh端口号,登录后top发现,有2个占用cpu 99%的同名进程在运行,叫gpg-agentd; 影响范围:一台linux虚机 问题分析及过程: 通过google搜索发现,GPG提供的gpg-agent提供了对SSH协议的支持,这个功能可以大大简化密钥的管理工作。但是我们发现的异常进程是gpg-agentd,多了一个字母d,属于伪装程序。 根据gpg-agentd的进程pid:23374,通过ps命令查看进程启动路径、通过n
针对挖矿病毒的简易三板斧
wangluoanquan111的博客
08-11 790
本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。
centos kswapd0 挖矿木马病毒进程CPU100解决
最新发布
1193379199的博客
01-20 1235
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
我的两个VPS有一个中了挖矿病毒,估计是ssh被人爆破了,看我centos linux下杀毒
xinhuanjieyi的博客
11-20 254
第十三步:登录宝塔网页后台,点“安全”,在防火墙中允许新端口通过,以确保可以正常连接到SSH服务。协议选择TCP,IP我直接指定我电脑所在的IP,这样你们闲杂人等ssh永远登录不进去了,除非模拟成我的IP,或者黑客有更高级的破解之法,但比直接爆破麻烦得多。搜索得知原来是挖矿病毒,拿我VPS来免费挖矿了,是可忍孰不可忍,拖出去斩了。现在,SSH服务将在新的端口上运行,确保更新客户端上的SSH连接设置以使用新端口。第十步:将22更改为我想要的端口号。我想这VPS算是没法用了,自认倒霉,重装系统吧,本文完。
ld-linux-x86-64挖矿病毒处理
sqlora的专栏
09-05 2387
[root@testdb ~]# top top - 18:52:24 up 127 days, 6:32, 2 users, load average: 17.26, 17.15, 17.10 Tasks: 808 total, 2 running, 806 sleeping, 0 stopped, 0 zombie Cpu(s): 7.9%us, 2.0%sy, 0.0%ni, 89.9%id, 0.1%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 6...
Debian系统常用命令总结及配置技巧
Debian系统命令总结 Debian系统是基于Linux的自由开源操作系统,具有强大的功能和灵活的定制能力。以下是Debian系统中常用的命令和语句总结。 挂载软硬件 在Debian系统中,挂载软硬件是非常重要的。例如,挂载USB...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值