Linux 被挖矿病毒入侵解决方式

最新推荐文章于 2024-05-26 18:21:37 发布
最新推荐文章于 2024-05-26 18:21:37 发布
阅读量1k 收藏 1
点赞数
文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39347537/article/details/118058371
版权

前段时间突然发现cpu一直飙满100%使用率,但是查看自己服务却没有发现占用,流量也在不断增加。尝试了以下几种处理方式:

1、重启n次服务器尝试,无果。

2、网上搜索,无果。

3、阿里服务器提交工单,售后工程师反馈太慢了..... 无果

4、使用top命令无法找出占满cpu的进程,无果

5、下载yum install htop ,去检测,惊奇发现矿机病毒进程  crypto,我通过占用进程的这个路径去/usr/share/搜索,果然发现几个文件,执行rm -rf 删除crypto 和scan等文件,在使用命令whereis pnscan,获取到路径,通过路径去删除pnscan文件。

最后在杀掉进程kill -9 pid 

6、处理黑客留下的后门,cd /root/ssh/,发现留有两个免登录的ssh文件,修改日期也是在cpu爆满的那天,更加肯定是人为之的。

执行rm -rf 删除不掉,因为被授予了权限此时的权限是600,需要使用 chattr 命令:

#查看文件属性
lsattr authorized_keys
# 去除a属性
chattr -a  authorized_keys
# 去除i属性
chattr -i  authorized_keys
# 去除e属性
chattr -e  authorized_keys

7、执行rm -rf 删除ssh完成。

附上图:

处理前,cpu一直100%使用率:

进程占用情况:

处理后:

我只不过想上天罢了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统被入侵后处理实战
02-25
操作系统:Ubuntu12.04_x64运行...于是联系机房协助解决,授权机房技术登录到系统:首先通过w命令查看是否有异常用户在登录;再查看登录日志/var/log/auth.log,预料之中,日志已经清空;最后使用iftop工具找出占用大量流
Linux服务器被解决办法
qq_40939094的博客
01-08 2638
记录一次Linux服务器被的经历(chattr文件权限被改)及解决办法 服务器被人,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
禁用 tracker-miner-fs 的方法
yangbobor的博客
08-14 1253
转自:https://askubuntu.com/questions/346211/tracker-store-and-tracker-miner-fs-eating-up-my-cpu-on-every-startup echo -e "\nHidden=true\n" | sudo tee --append /etc/xdg/autostart/tracker-extract.desktop /etc/xdg/autostart/tracker-miner-apps.desktop /etc/xdg/a
Linux】记一次服务器被(lambsys和procq)
最新发布
Purepil的博客
05-26 656
周五凌晨一台测试服务器被了,根据进程相关的文件lambsys和procq搜索没有搜到相关的东西,也是弄了好久。没想到第二天又有一台服务器被了,因此记录一下。注意:只针对该种,且治标不治本。如果知道如何入侵的,希望能告知top -c显示进程和占用top -c。
Ubuntu Gnome 14.04 tracker-extract占用内存太高
wangfei584521的专栏
10-13 8935
国庆换了一台Dell 灵悦15R,4G内存+core i5 4210de
dbus-glib编程3:消息和消息总线 dbus-send的使用
cyf15238622067的博客
09-02 2274
1、从例子开始 我写了一个最简单的dbus服务器,它通过dbus提供了一个加法的接口。 大家可以https://download.csdn.net/download/cyf15238622067/12797794这个例子。这是一个autotool工程,大家解包后,执行: ./autogen.sh ./configure make 然后在src目录运行: ./example-service 这时再运行d-feet,连接session bus,在“Bus Name”窗口会看到一个叫“org.f
Linux中招木马如何处置,附带解决方案
是故事啊~关注我~
01-25 6879
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了木马病毒,让我给他解决,分享一下解决方法。 一. 什么是木马 首先经过多年的演进,越来越多的木马利用多种方式入侵系统,意图感染更多的机器,提高的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
linux检测脚本
07-25
执行自动检测
Linux防护工具clamav病毒库离线版
12-07
**Linux防护工具ClamAV与离线病毒库详解** ClamAV是一款开源的反病毒软件,主要用于Linux系统,提供强大的邮件服务器、文件服务器和其他网络服务的病毒扫描功能。这款工具以其跨平台性、免费和开源的特性,在IT行业...
Linux入侵排查.docx
05-07
在企业发生黑客入侵、系统崩溃或其他影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
linux服务器被植入病毒后初步解决方案
qq_24274689的博客
07-22 3697
linux服务器被植入病毒后初步解决方案
linux 服务器CPU被的一个解决方法
m0_51789083的博客
04-04 2114
发现 敲代码的时候阿里云来了个电话,说你的服务器疑似,还发了个邮件, 人直接懵了,就去阿里云看看,一看cpu直接一直100%, 开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键) 还发了安全警告 解决过程 上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪
linux——程序处理
sunfragrence的博客
12-12 3612
记一次程序入侵以及解决实操! 1,过程记录 系统被程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
服务器被后如何排查处理
热门推荐
琪琪的博客
08-07 1万+
会使服务器硬件资源,如:CPU、内存消耗极大
linux 处理
an74520的专栏
04-07 1341
查看crontab watch crontab -l 发现有定时脚本 以下是脚本内容 删除crontab脚本配置,并删除脚本 rm -rf /usr/libexec/docker/.local/.local/upd crontab -e //配置定时 /sbin/service crond start //启动服务 /sbin/service crond stop //关闭服务 /sbin/service crond restart //重启服务 /sbin/se.
linux系统木马清理流程
qq_42430287的博客
04-12 1015
一、查看cpu占用率 如果您的主机CPU占用率居高不下,那么主机很有可能已经被植入了木马,会影响服务器上的其他应用的正常运行,需要立刻上机排查。 top -c 二、清理木马 1.及时隔离主机 2.阻断异常网络通信 木马不仅会连接池,还有可能会连接黑客的C2服务器,接收并执行C2指令、投递其他恶意木马,所以需要及时进行网络阻断。 1)检查主机防火墙当前生效的iptables规则中是...
Linux 病毒kdevtmpfsi被解决办法(三),因为又出现病毒文件了,所以需要继续查找源头
80后大叔爱学习
02-01 929
grep -r "newdat.sh" /*
Linux病毒清理通用思路
dayouzi的博客
04-19 3656
在被植入病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux中了病毒详细解决方案
wu_qing_song的博客
10-27 4961
linux病毒解决
linux入侵怎么解决
07-15
如果您的 Linux 系统被入侵并被用于,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值