linux挖矿病毒排查-实操

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量769 收藏 4
点赞数 4
分类专栏: 不求人系列出品 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_kndy/article/details/134200686
版权

不求人出品,必属精品

一、优先排查

netstat -ntpl       //恶意连接排查
cat /etc/passwd    //异常账户排查
cat /etc/shadow
cat /etc/rc.d/rc.local/init.d等  //开机启动项排查
chkconfig --list  //同等上面,为了全面可以使用此命令复查下
crontab -l  //计划任务排查
cat /etc/hosts  //hostst文件排查
cat /etc/resolv.conf //dns配置文件排查
以上命令必须先排查掉

二、可选


lsof可选,效果不大
lsof -i tcp/udp   //列出使用了tcp或udp协议的文件
lsof -i tcp:3306  //列出使用了tcp协议并且端口号为3306的文件
netstat可选,效果不大
netstat-apn | grep pid 查看网络连接

三、实战场景


1、发现CPU占用率很高的进程
top   //shift + p
kill -9 pid            //kill后没用
ls -l /proc/pid/exe   //查看病毒路径
rm -rf       //统统删除病毒文件
kill -9 pid 
top          //没占用率高的进程了,搞定
结束
2、未发现占用率高的进程
cat /etc/ld.so.preload  //发现里面有.so文件,这是病毒隐藏文件
vim看一下,太多.so文件了,且ll查看后发现属于只读文件,不能修改

如果使用上述方式删除了.so隐藏文件担心不保险,那就top一下,
此时会出现占用高的进程,存在守护线程
systemctl status pid
rm -rf 进程名
cd /var/spool/cron目录下找到文件root,查看定时任务,并删除
ps -aux | grep 进程名  //会显示进程id
kill -9 pid
最好,再把守护线程执行下
systemctl status pid //避免守护进程存在守护进程
#当使用rm删除文件和文件夹的时候提示:rm: 无法删除"bash": 不允许的操作
通过命令 chattr,可以设置文件/文件夹的隐藏属性,来保证文件/文件夹的安全.
其中比较重要的参数为i和a.这两个属性只有root用户才可以设置或清除.而通过
命令 lsattr 可以查看这些属性
①lsattr 文件名,可以看到文件有-i和-a属性
chattr -i 文件名
chattr -a 文件名
chattr -u 文件名
②直接全部删除整个文件
rm -rf ld.so.preload  
top   //此时会出现占用率高的进程
ls -l /proc/pid/exe   //查看病毒路径
rm -rf       //统统删除病毒文件
kill -9 pid 
crontab -l 
cat /etc/rc.local //开机自启
公钥免密登录
①暂未验证删除后怎么办
cat .ssh/authorized_keys
rm -rf 
②把添加的公钥删除,暂未验证这个目录
cat .ssh/known_hosts
reboot

root账户:

ls /var/spool/cron/crontabls/
cat /etc/crontab
ls -l /etc/cron.d/

w_kndy_Not Jobs
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2823
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查
信息通信网络运行管理员-高级-考证--实操拓扑图.rar
11-23
此类认证通常涵盖网络设计、网络管理、网络安全、故障排查等多个方面,旨在验证候选人在复杂网络环境下的分析、规划和执行能力。通过这样的认证,从业者可以证明自己具备处理各种网络问题、优化网络性能、保证业务...
Linux服务器中了病毒后的清理方法
weixin_45625174的博客
05-15 1003
" -ls 和 find /usr/sbin/ -iname ".
Linux服务器中了挖矿病毒,成功清理
编程还未
04-13 3015
Linux服务器中了挖矿病毒,成功清理
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1296
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1330
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒
Senoh的博客
09-30 3387
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
记一次linux排查挖矿病毒
qq_44803385的博客
03-20 223
所以先把他杀死试试, 发现根本没用,这个就和牛皮糖一样粘在了电脑上面,那么现在猜测应该就是上面的定时任务搞的鬼。由于服务器又被挖矿病毒染上了,所以被学校封禁了ip,老是这样也不是办法,所以自行解决一下。首先利用 crontab -l 查看一下有啥定时任务,这一步并没有发现异常。然后进入/etc/cron.d 目录进行查看,此时发现了异常。这个fold一看就很可以,包括后面的cat tr 也很奇怪。然后使用 top命令查看一下运行内存占用情况。这玩意一看就是挖矿病毒来的(以前找过一些)
Linux挖矿病毒查杀
翼幻幻幻幻的博客
09-26 709
项目场景: 服务器异常卡顿 问题描述: 在执行任务时异常缓慢,CPU占用率异常 原因分析: 使用top命令查看后发现某一进程占用率1000多,怀疑中了挖矿病毒 解决方案: 切到root用户,杀掉该进程,发现过一段时间该进程再次启动,猜测该病毒设置了定时自启,使用以下命令查看当前用户计划任务 crontab -l 注释掉crontab任务,执行以下命令进行编辑,在前面加#将其注释掉 crontab -e 编辑,保存,再次执行crontab -l查看 再次将该进程kill掉,观察一
Linux排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6294
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
Python代码源码-实操案例-框架案例-五子棋.zip
02-22
在本压缩包“Python代码源码-实操案例-框架案例-五子棋.zip”中,包含的是一个基于Python编程语言实现的五子棋游戏的源码实例。五子棋是一种双人对弈的策略棋类游戏,目标是通过放置棋子在棋盘上形成连续的五个同色...
Python代码源码-实操案例-框架案例-Word助手.zip
02-22
在本压缩包“Python代码源码-实操案例-框架案例-Word助手.zip”中,包含的是关于Python编程语言的应用实例,特别是与Python框架相关的源码。这些源码可能是为了帮助用户实现对Microsoft Word文档的自动化操作或者...
Linux系统故障分析与排查
02-21
Linux系统中,同样需要进行大量的备份来完成系统的维护工作,并且使用复制粘贴命令即可完成,在接下来的时间中介绍一些关于Linux系统故障分析与排查的操作。日志服务器的部署通过一台RHEL5作为日志服务器A,一台...
LInux驱动开发-问题排查总结
03-28
"Linux 驱动开发-问题排查总结" Linux 驱动开发中,IO 类问题排查是非常重要的一部分,本总结将对 IO 类问题进行详细的总结和讲解。 在 Linux 驱动开发中,IO 类问题可能会导致各种问题,例如引脚复用、寄存器配置...
杀毒成瘾--继续linux服务器挖矿病毒的查杀
一本正经学技术
09-25 1491
运维播报 前言 在昨天设置好定时关闭病毒进程的任务后,今天早上检查一下效果,查看回写日志信息,如下图: 今天继续查找病毒源头。 实时记录 由于直接通过crontab -l命令无法查到真实定时任务,只能通过排查/etc下的cron相关文件进行排查分析。 首先/etc/cron.d目录下存在0hourly文件,查看内容如下: [root@MiWiFi-R2D-srv ~]# cat /etc/cron.d/0hourly # Run the hourly jobs SHELL=/bin/bash PATH=
liunx挖矿程序排查思路
凯歌响起的博客
10-23 2109
最近收到一个阿里云安全告警,在这里写一下自己的排查思路,与大家交流一下:安全告警邮件。
linux挖矿病毒分析
weixin_42915431的博客
12-21 2586
最近我的测试虚拟机中了挖矿病毒,有个奇怪的名为VP0eryom的进程,cpu占用率特别高,于是自己就折腾着分析,试着找出原因,下面是简单分析过程。
Linux挖矿病毒的清除与分析
for justice
10-14 3713
清除过程 确定病因 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使用命令: ps -aux | grep sysupdate 查看病毒的PID号。 为了获取绝对路径,使用: ls -l /proc/{pid号}/exe 发现sysupdate...
linux中了挖矿病毒详细解决方案
wu_qing_song的博客
10-27 5002
linux挖矿病毒已解决
linux挖矿病毒排查
12-07
Linux系统中挖矿病毒排查可以通过以下步骤进行: 1.使用top命令查看系统资源占用情况,如果发现CPU、内存、网络等资源占用率异常高,可能存在挖矿病毒。 2.使用netstat命令查看网络连接情况,如果发现大量连接到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_kndy_Not Jobs

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值