Linux挖矿病毒 khugepageds详细解决步骤

最新推荐文章于 2024-09-09 17:18:24 发布
最新推荐文章于 2024-09-09 17:18:24 发布
阅读量793 收藏
点赞数
文章标签: 操作系统 awk 运维
原文链接:http://www.cnblogs.com/521football/p/10635235.html
版权

一.背景

最近公司一台虚拟机被攻击,其中一种挖矿病毒、会伪CPU数、即如果用top命令只能看到一个cpu、并且负载不高、实际上整个负载300%以上,及时定时任务关掉也不起作用。

 

二.言归正传开始干掉这个麻烦的病毒(脚本如下):

    • #关掉定时任务
    • service crond stop
    • #删除so库
    • busybox rm -f /etc/ld.so.preload
    • busybox rm -f /usr/local/lib/libcset.so
    • chattr -i /etc/ld.so.preload
    • busybox rm -f /etc/ld.so.preload
    • busybox rm -f /usr/local/lib/libcset.so
    • # 清理异常进程
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'khugepageds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox rm -f /tmp/kthrotlds
    • busybox rm -f /tmp/kintegrityds
    • busybox rm -f /tmp/khugepageds
    • busybox rm -f /tmp/kpsmouseds
    • busybox rm -f /etc/cron.d/tomcat
    • busybox rm -f /etc/cron.d/root
    • busybox rm -f /var/spool/cron/root
    • busybox rm -f /var/spool/cron/crontabs/root
    • busybox rm -f /etc/rc.d/init.d/kthrotlds
    • busybox rm -f /etc/rc.d/init.d/kpsmouseds
    • busybox rm -f /etc/rc.d/init.d/kintegrityds
    • busybox rm -f /usr/sbin/kthrotlds
    • busybox rm -f /usr/sbin/kintegrityds
    • busybox rm -f /usr/sbin/kpsmouseds
    • busybox rm -f /etc/init.d/netdns
    • busybox rm -f /tmp/ld.so.preload*
    • ldconfig
    • # 再次清理异常进程
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' | busybox xargs kill -9
    • busybox ps -ef | busybox grep -v grep | busybox egrep 'khugepageds' | busybox awk '{print $1}' | busybox xargs kill -9
 
 
# 清理开机启动项
chkconfig netdns off
chkconfig –del netdns

service crond start
echo "Done, Please reboot!"
 
 
 
 
 
      补充:由于近期很多人咨询有wiki,redis,jenkins中招的情况,建议尽快备份数据,重装系统,默认端口修改复杂端口,服务仅供内部使用。
 
 
 
 

 

转载于:https://www.cnblogs.com/521football/p/10635235.html

                

        

        




    

  


    

      

        

            

              
                
                  weixin_30565327
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤

				
			

			

				

					wangyuxiang946的博客
				

				

					05-05
					
					2万+
					
				

			

		

		

			
				
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。
而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。
最后通过账号、日志、母体文件等信息,溯源攻击路径。

			
		

	



                

              
                



	

		

			

				
					
linux 中毒 挖矿病毒,占用大量cpu,杀毒过程

				
			

			

				

					lg4546的专栏
				

				

					07-19
					
					719
					
				

			

		

		

			
				
linux 挖矿病毒 , cpu 占用比较大  lVlgd 进程 , crontab 定时执行

			
		

	



                


  
              

                


	

		

			

				
					
Centos 7.4 启用大页

				
			

			

				

					11-09
				

			

		

		

			
				
前言
Hugepages是从Linux kernal 2.6后被引入的,其目的是更好的管理超大内存。在oracle数据库服务器上所使用hugepages主要的优势有以下几点:
1. 避免SGA被交换到swap;
2. 减轻TLB的压力;
3. 减少页表的开销;
4. 减少页表查询的开销;
5. 提升内存访问的整体性能

			
		

	





	

		

			

				
					
initdz linux挖坑病毒分析

				
			

			

				

					Cosmopolitan的博客
				

				

					05-09
					
					961
					
				

			

		

		

			
				
拉进ida里面反编译一下

函数名很清晰,看来是没有去掉符号信息

进入checkhost()里面

也很清楚,选择一个存活的域名作为baseurl,后面有用到来下载挖坑程序

进入checkzigw()函数

删除同类的挖坑软件,详细说一下,先pkill zigw进程,改变zigw的属性为可见可修改,使用rm -rf /etc/zigw删除zigw

进入initfile()函数,这个函数比较...

			
		

	



		

			
		



	

		

			

				
					
Linux服务器挖矿病毒彻底清除与防护实操指南

				
			

			

				

					boydoy1987的专栏
				

				

					08-07
					
					787
					
				

			

		

		

			
				
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。

			
		

	





	

		

			

				
					
hugepages使用出现kswapd导致系统负载突然上升

				
			

			

				

					miki西游       不积跬步,无以至千里;不积小流,无以成江海
				

				

					07-02
					
					392
					
				

			

		

		

			
				

在运行Oracle
数据库的linux
服务器上,某个时间段的每分钟负载会突然上升到40
以上,在进程队列里看到kswapd0
出现,导致数据库无响应,持续时间数分钟。

对于应用而言,这个时间段有明显的停滞感,像系统已经挂掉了一样。

如果这是发生在Oracle RAC
环境中某一个节点上,那么这个节点就可能会重启。

这属于非常严重和致命的问题。

(miki西游...

			
		

	





	

		

			

				
					
记一次Linux服务器因redis漏洞的挖矿病毒入侵

				
			

			

				

					weixin_30387663的博客
				

				

					04-13
					
					487
					
				

			

		

		

			
				
中毒原因,redis bind 0.0.0.0 而且没有密码,和安全意识太薄弱。
所以,redis一定要设密码,改端口,不要用root用户启动,如果业务没有需要,不要bind 0.0.0.0!!!!!!!!!!!
这个病毒能都横向传播,不要以为在外网redis的端口不通就没有事情。只要内网里有机器感染了病毒,就可以继续感染。
病症:CPU被不明进程吃满。
该病毒主要是通过,crontab定...

			
		

	





	

		

			

				
					
记一次linux遭遇挖矿病毒之旅

				
			

			

				

					yiyihaiya的博客
				

				

					06-12
					
					228
					
				

			

		

		

			
				
开发那边构建jenkins项目发现构建失败,我去排查发现,git拉取不了代码,我一开始以为是ssh没权限,公钥失效了,后来发现22端口连接不上。

后来我试着ssh连接别的机器发现报同样的问题,经过网上搜索这种问题的原因,ssh服务没启动,host.deny,防火墙规则,甚至把openssh服务卸载了重装仍旧这个错误。

中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来在命令行top一看/tmp目录有个非法二进制文件占用了300%CPU,这种来历不明的二进制吃CPU的程序一般是挖矿

			
		

	





	

		

			

				
					
记录一次在Linux解决sysupdata挖矿病毒过程

				
			

			

				

					The_right_one的博客
				

				

					05-31
					
					931
					
				

			

		

		

			
				
记录一次在Linux解决sysupdata挖矿病毒过程
公司项目上线测试时发现有进程后台cpu占用过,根据进程名称及端口号找到文件所在位置为/etc/sysupdata该文件,网上一查发现是病毒文件对应的还有其他四个文件:
updata.sh   config.json   networkservics   sysguerd(该文件未添加i权限可以直接rm -rf 文件名  直接删除)
解决办法
1.先尝试解决
找到病毒文件了现在就是直接删除看看:

很明显这个文件不能删除有权限
网上的方法是使用chat

			
		

	





	

		

			

				
					
记录一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)

					
热门推荐

				
			

			

				

					daiyuhe的博客
				

				

					07-16
					
					2万+
					
				

			

		

		

			
				
起因
闲来无事准备用服务器搭建个环境玩玩,然后连上服务器之后命令行卡的飞起,使用top看看cpu占用率,不看不知道,一看特喵百分之百。排名前三的就是这三个玩意。


sysupdate? 系统更新?我好像也没开启自动更新啊
networkservice? 网络服务???WTF????
接下来肯定是百度谷歌了,这里不得不吐槽一下百度,百度sysupdate就没啥有效信息。。
清除的过程
使用top已...

			
		

	





	

		

			

				
					
linux kdevtmpfsi 挖矿病毒处理

				
			

			

				

					qq_16642919的博客
				

				

					02-26
					
					487
					
				

			

		

		

			
				
linux kdevtmpfsi 挖矿病毒处理病毒表现新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
病毒表现

你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编

			
		

	





	

		

			

				
					
Linux&HPC并行计算集群中挖矿病毒临时解决方法及预防方法研究

				
			

			

				

					qq_27815483的博客
				

				

					06-24
					
					1966
					
				

			

		

		

			
				
本文旨在研究当Linux或HPC集群中挖矿病毒之后临时解决方法及如何预防挖矿病毒的攻击,旨在保护我们的Linux集群环境稳定健康的运行

			
		

	





	

		

			

				
					
Linux服务器防护+对抗挖矿病毒全流程探索

					
最新发布

				
			

			

				

					weixin_44197439的博客
				

				

					09-09
					
					814
					
				

			

		

		

			
				
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。

			
		

	





	

		

			

				
					
Linux服务器CPU占用100%,Error: No space left on device,khugepageds挖矿病毒引起

				
			

			

				

					白鸿源的博客
				

				

					06-18
					
					1371
					
				

			

		

		

			
				
最近部署docker运行的时候提示:Error: No space left on device(磁盘空间不足)

df -h 查看磁盘使用情况,发现磁盘并没有占用满



df -i        继续查看 inode 使用情况,发现也没有占用满



查看阿里云服务器控制台,CPU使用显示占用100%


运行# top发现%Cpu(s): 2.0 us, 1.7 sy, 0.0 ni,96....

			
		

	





	

		

			

				
					
linux解决挖矿病毒

				
			

			

				

					qianjiu520的博客
				

				

					05-30
					
					817
					
				

			

		

		

			
				
linux解决挖矿病毒

			
		

	





	

		

			

				
					
应急响应-linux挖矿病毒的实战处置

				
			

			

				

					告白的博客
				

				

					08-06
					
					1218
					
				

			

		

		

			
				
将该文件上传沙箱检测,确定为木马程序,且为内容存在条件竞争,且调用多种终端,行为非常正常文件,在Linux系统中查找并终止与指定关键词相关的进程。查询初次访问config.jsp后门程序的时间,同时观察到在该木马文件访问的前几次,攻击者成功访问了st2框架的.sction页面,疑似通过st2漏洞进入并植入木马,后通过模拟攻击者行为证实改主机存在st2漏洞。初步分析得知,该主机通过web服务被入侵,攻击者通过st2漏洞植入木马,获取web权限后植入挖矿木马文件,并设置定时任务。

			
		

	





	

		

			

				
					
linux 透明巨页khugepaged 后台进程分析

				
			

			

				

					runshui27的博客
				

				

					11-23
					
					447
					
				

			

		

		

			
				
https://blog.csdn.net/wdjjwb/article/details/80814512



			
		

	





	

		

			

				
					
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒

				
			

			

				

					Senoh的博客
				

				

					09-30
					
					3648
					
				

			

		

		

			
				
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提安全意识是我们最后的倔强了

			
		

	





	

		

			

				
					
linux挖矿病毒查杀

				
			

			

				

					09-10
				

			

		

		

			
				
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值