Linux 被挖矿病毒入侵解决方式

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量1k 收藏 1
点赞数
文章标签: linux ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39347537/article/details/118058371
版权
博主在面对服务器CPU持续100%使用率的问题时,经过一系列排查,发现了矿机病毒crypto及其相关进程,并成功删除。同时,博主还发现了黑客留下的SSH后门,通过chattr命令移除文件保护属性后将其删除,解决了安全问题,服务器恢复正常。
摘要由CSDN通过智能技术生成

前段时间突然发现cpu一直飙满100%使用率,但是查看自己服务却没有发现占用,流量也在不断增加。尝试了以下几种处理方式:

1、重启n次服务器尝试,无果。

2、网上搜索,无果。

3、阿里服务器提交工单,售后工程师反馈太慢了..... 无果

4、使用top命令无法找出占满cpu的进程,无果

5、下载yum install htop ,去检测,惊奇发现矿机病毒进程  crypto,我通过占用进程的这个路径去/usr/share/搜索,果然发现几个文件,执行rm -rf 删除crypto 和scan等文件,在使用命令whereis pnscan,获取到路径,通过路径去删除pnscan文件。

最后在杀掉进程kill -9 pid 

6、处理黑客留下的后门,cd /root/ssh/,发现留有两个免登录的ssh文件,修改日期也是在cpu爆满的那天,更加肯定是人为之的。

执行rm -rf 删除不掉,因为被授予了权限此时的权限是600,需要使用 chattr 命令:

#查看文件属性
lsattr authorized_keys
# 去除a属性
chattr -a  authorized_keys
# 去除i属性
chattr -i  authorized_keys
# 去除e属性
chattr -e  authorized_keys

7、执行rm -rf 删除ssh完成。

附上图:

处理前,cpu一直100%使用率:

进程占用情况:

处理后:

我只不过想上天罢了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统被入侵后处理实战
02-25
操作系统:Ubuntu12.04_x64运行...于是联系机房协助解决,授权机房技术登录到系统:首先通过w命令查看是否有异常用户在登录;再查看登录日志/var/log/auth.log,预料之中,日志已经清空;最后使用iftop工具找出占用大量流
linux挖矿检测脚本
07-25
执行自动检测
2024年Linux 系统被入侵!怎么排查?_linux系统排查(1)
2303_79055586的博客
05-01 602
Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库,LD_PRELOAD 环境变量和 /etc/ld.so.preload 配置文件中指定的动态链接库依然会被装载,它们的优先级比 LD_LIBRARY_PATH 环境变量所定义的链接库查找路径的文件优先级要高,所以能够提前于用户调用的动态库载入。我之前在这个上面困惑了一段时间。
linux 服务器CPU被挖矿的一个解决方法
m0_51789083的博客
04-04 2126
发现 敲代码的时候阿里云来了个电话,说你的服务器疑似挖矿,还发了个邮件, 人直接懵了,就去阿里云看看,一看cpu直接一直100%, 开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键) 还发了安全警告 解决过程 上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除挖矿病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1425
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linux——挖矿程序处理
sunfragrence的博客
12-12 3620
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3731
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
记录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 783
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
Linux防护工具clamav病毒库离线版
12-07
**Linux防护工具ClamAV与离线病毒库详解** ClamAV是一款开源的反病毒软件,主要用于Linux系统,提供强大的邮件服务器、文件服务器和其他网络服务的病毒扫描功能。这款工具以其跨平台性、免费和开源的特性,在IT行业...
Linux入侵排查.docx
05-07
在企业发生入侵、系统崩溃或其他影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
Linux+Windows入侵检测报告.rar
11-27
2. **Linux入侵检测**:在Linux环境中,入侵检测可能涉及审计日志分析、文件完整性检查、网络流量监控等。例如,利用`auditd`服务进行系统调用跟踪,使用`tripwire`检查文件系统完整性,通过`Snort`等工具监测网络...
排查Linux机器是否已经被入侵.doc
08-13
Linux环境中,安全是至关重要的,因为一旦系统被入侵,可能会导致数据丢失、服务中断,甚至整个网络结构受到破坏。本文将深入探讨如何排查Linux机器是否已经被入侵,这对于任何Linux运维工程师来说都是必备技能。 ...
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux操作系统安全及入侵排查
09-30
2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查...
linux-nids.rar_linux nids_入侵检测
09-20
Linux NIDS(网络入侵检测系统)是用于监控网络流量并识别潜在恶意活动的软件。它在Linux操作系统上运行,能够捕获、分析和记录网络数据包,以便检测可能的入侵行为。下面将详细介绍Linux NIDS的基本概念、工作原理...
linux下的文件感染病毒
12-16
本文将深入探讨“Linux下的文件感染病毒”这一主题,包括病毒的传播方式、感染机制以及如何防范和清除病毒。 首先,我们要了解什么是ELF(Executable and Linkable Format)文件。在Linux中,大多数可执行程序、...
阿里云服务器被pnscan挖矿病毒入侵如何解决
m0_64344919的博客
01-26 1229
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
tracker-store和tracker-miner-fs在每次启动时吃掉我的CPU
hknaruto的专栏
11-09 2852
问题描述 每当我启动我的笔记本电脑时,tracker-store和tracker-miner-fs都会在30-40%之间耗尽我的CPU 10-15分钟。我在Ubuntu 12.04上。 这些流程有什么作用?如何摆脱过程? 最佳解决办法 脚本解决方案在Ubuntu 16.04上永久禁用它 正如评论中提到的,这篇文章中提到的文件在16.04中不再存在。您可以使用以下脚本: echo -e "\nHidden=true\n" | sudo tee --append /etc/xdg/autos.
记一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 4523
(ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
linux入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. 停止挖矿进程:查找并停止正在运行的挖矿进程。可以使用命令 `ps aux | grep miner` 或 `top` 来查找并终止挖矿相关的进程。如果您知道具体的挖矿进程名称,也可以直接使用 `kill` 命令来终止进程。 3. 清理恶意软件:查找并删除与挖矿相关的恶意软件。您可以使用命令 `find / -name <file_name>` 来查找文件名包含指定字符的文件,然后手动删除这些文件。 4. 更新和修补系统:确保您的 Linux 系统和相关软件都是最新版本,并应用安全补丁。这有助于修复已知的安全漏洞,减少入侵的风险。 5. 检查系统日志:检查系统日志文件,查找与入侵挖矿相关的异常行为。常见的日志文件包括 /var/log/auth.log、/var/log/syslog 等。分析这些日志可以帮助您了解入侵的来源和方式。 6. 强化安全措施:采取额外的安全措施来保护您的系统,如使用强密码、启用防火墙、限制远程访问、使用安全软件等。确保您的系统和应用程序都有合适的安全配置。 7. 进行系统扫描和恢复:可以使用安全软件或工具对系统进行全面扫描,以查找和清除潜在的恶意文件和后门。还可以恢复受影响的文件和配置,以确保系统正常运行。 请注意,上述措施可能需要一定的专业知识和技术能力。如果您对此不太熟悉,建议寻求专业人士的帮助,如网络安全专家或系统管理员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值