处理服务器挖矿木马

最新推荐文章于 2024-05-09 15:00:20 发布
最新推荐文章于 2024-05-09 15:00:20 发布
阅读量4.5k 收藏 2
点赞数
分类专栏: linux 文章标签: 挖矿
个人博客:https://blog.sreio.com
本文链接:https://blog.csdn.net/weialemon/article/details/79021796
版权

   挖矿木马潜伏在服务器上,可能每一个木马名称都不一样,但是大致基本一样。

  由于我之前处理时候并没有保留图片,所以此文章依据别的文章所做整理。

  杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。

类似于这样,cpu达到百分之百了,这样的进程杀都杀不掉

很明显是病毒进程,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

第一步就是对redis进行了配置上的修改:

① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.xxx.xx.xx.xx改了

第二步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了 /root/.ssh下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把 /root/.ssh下的文件都删了,省事了。

第三步就是要找到所有关于病毒的文件, 执行命令  find / -namewnTKYg*,只有/tmp下有这个文件,删了,然后就去killwnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill 然后top观察进行变化,终于被我发现了,有一个/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,用ps-aux|grep ddg 命令把所有ddg进程找出来杀掉,并删除/tmp目录下的所有的对应ddg文件,至此,病毒被解决了,异地登录,安全扫描什么的也被我解决了。

(还有crontab -e)看看是否有可疑的定时任务,把这个也清理掉


网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:

首先关闭挖矿的服务器访问 

iptables  -A  INPUT  -s  xmr.crypto-pool.fr  -j  DROP
iptables  -A  OUTPUT  -d  xmr.crypto-pool.fr  -j  DROP       
然后删除yam 文件   
用find / -nameyam查找yam文件       
之后 找到wnTKYg 所在目录 取消掉其权限  并删除
然后再取消掉 tmp的权限并删除  之后 pkill  wnTKYg就OK了。

原博文地址:http://blog.sina.com.cn/pastlifezhangchilde

sreio
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
应急响应:挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1724
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。
解密-挖矿病毒事件-详细攻防详细教程
最新发布
程序员三九的博客
05-09 458
ps:因为项目保密的原因部分的截图是自己在本地的环境复现。1. 起因客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致
服务器挖矿病毒了怎么办?
编码人生
11-22 7443
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器挖矿病毒了,一般情况下中了挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
服务器挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 887
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
Linux - 服务器.Xr1挖矿病毒解决记录
LeyiChen_X的博客
08-13 1130
2. 问题定位1. 发现问题开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程2. 问题定位2.1 通过top命令查看, 发现 xr文件, CPU占用过高, 服务器运行时间长了, 会出现很多xr的进程 (这里只有两个是因为刚重启过)2.2 进入进程文件夹, 查看进程文件信息, 才发现是根目录下的 .XL1的隐藏文件2.3进入/.Xr1文件夹可以看到有一个执行文件和一个配置文件2.4查看配置信息可以看到里面有。
c# 服务器上传木马监控代码(包含可疑文件)
09-05
c# 监控服务器上传木马(包含可疑文件)
服务器防黑客及木马攻击的安全设置小结
09-30
很多情况下,我们使用服务器最重要的就是服务器安全设置,要不你的网站数据很容易就被别人复制走,服务器变成肉鸡,让你损失惨重,这里简单分享下,随时是2000的安全设置,但可以参考下
服务器木马代码批量替换工具
12-05
服务器木马代码批量替换工具,完全替换,黑链清干净。
剑儿服务器木马监控器
11-12
软件可以帮助你实时了解服务器上的网站实时情况,比如哪个网站的源文件被修改,哪个网站的根目录被上传了木马,哪个网站被删除了文件等等,一目了然。是你管理web服务器的好帮手
linux 木马 源码,一款新型的Linux挖矿木马来袭
weixin_29577885的博客
05-12 1262
事件描述样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下:pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.orgxmr-jp1.nanopool.org、xmr-...
挖矿木马简单分析
AlwaysBetter
07-27 1522
#!/bin/sh #更改当前进程最大打开文件数为65535 ulimit -n 65535 #删除linux下系统关键日志信息 rm -rf /var/log/syslog #给chattr最高权限 chattr (chattr可以修改文件隐藏属性,如不可删除) chmod 777 /usr/bin/chattr chmod 777 /bin/chattr # -iua i:只许修改,不允许建立和删除 u删除文件会保存,以后可以恢复 a只允许建立和修改,不允许删除 # -iua 和 + 相反 去除文件
记录一次阿里云redis被黑客植入挖矿木马
等_天蓝再看海的博客
03-22 1990
1.top查询占用CPU进程2. find / -name 进程3.rm -rf 文件4.ps -ef | grep -v grep | egrep '进程' | awk '{print $2}' | xargs kill -95.crontab -l查看定时任务6.echo > /var/spool/cron/root清除定时任务7.清除/root/.ssh/目录下的对应密匙8.重启red...
一个名叫aliyun的挖矿木马处理过程
02-26 1370
点击箭头处“蓝色字”,关注我哦!!作者 | @hksanduo来源 | https://hksanduo.club/security/2019/12/19/clean-up-a-mini...
木马工作原理和通用解法
云海唯C的专栏
03-17 4333
由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”      “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设
我的服务器挖矿了,原因居然是...
qq_44005305的博客
06-24 1006
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4611
挖矿病毒特征:“挖矿”病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
还原入侵者
windowschengxisheji的博客
01-26 1650
一、有个进程叫名叫xd和sysmon占用大量cpu ,负载也达到3~4 xd位置如下,sysmon还未找到执行程序ps、lsof命令都没找到 /tmp目录下有些奇怪文件 文件具体时间 二、 lastb 命令显示/var/log/btmp 文件,记录登陆失败用户: tty: TTY是TeleTYpe的一个老缩写。Teletypes,或者teletypewr
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值