CentOS处理挖矿病毒 - kthreaddi

最新推荐文章于 2024-10-01 21:42:12 发布
最新推荐文章于 2024-10-01 21:42:12 发布
阅读量1.7k 收藏 1
点赞数
文章标签: linux 安全
原文链接:https://blog.csdn.net/joey_ro/article/details/115430628
版权

没成功,只是记录下思路。

我的是直接重装系统镜像。。。

最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100%

在这里插入图片描述

阿里云也给我狂发消息:
在这里插入图片描述
因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!!

1.查找病毒进程:

 ps -aux | sort -k3nr | head -5

或者

top

发现病毒:
在这里插入图片描述
原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!!!

2.查看它的守护进程

杀死进程后,进程有立马重启,所以该进程一定存在守护进程!

 systemctl status 12367

在这里插入图片描述

3.查看自启动文件

crontab -l

在这里插入图片描述

 crontab -e

删除所有内容;

4.杀死病毒进程和守护进程

在这里插入图片描述

5.后续

病毒可能会反复,实在不行就按照客服说的做好备份重置系统;
在这里插入图片描述

——————————————————————————————
第二天,病毒果然反复了
在这里插入图片描述
解决方法,在上面的基础上,观察守护进程
在这里插入图片描述
发现他的启动文件是/run/systemd/system下的文件,该文件不是我创建的直接全部删除!
还有/etc/cron.hourly下的文件全部删除,包括dayly,weekly,monthly下的文件全部删除!

在阿里云的安全组规则中,将进入服务器的22端口的主机IP设为一个,自己的电脑这样安全!
在这里插入图片描述
ok,世界终于清静了!
————————————————————————————————————
2021.4.17 10.08
hello我又来了,昨天又收到了阿里云的短信和邮件:
在这里插入图片描述
顿感不妙,果然是服务器又被攻击了,
在这里插入图片描述
进入命令行输入top,发现一切正常:
在这里插入图片描述
说明病毒这次能够在top中隐藏,输入

 ps -aux | sort -k3nr | head -5

在这里插入图片描述
发现是我们的老朋友–Kthreaddi病毒
按上面的操作进行杀毒;
但是既然病毒能够复发说明只是用以上的方法一定会再复发,于是将几个重要的文件夹设为只可读:

chmod -R 400 /var/spool/cron

将自启动文件的目录设为只可读;

 chmod -R 400 /run/systemd/system

把常见的病毒载体文件设为只可读;
同时观察阿里云发送的邮件,既然我的服务器通过封禁的端口攻击别人说明,黑客就是通过这些端口攻击的我,于是在安全组里将这些端口设为自己的电脑可入。
端口:

  • 80
  • 8088
  • 8080
  • 3128
  • 135
  • 139
  • 3389
  • 22

ok,世界再次清净了

YHJ
关注
专栏目录
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 983
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
记一次centos挖矿病毒处理经过
a345203172的专栏
10-08 1736
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1230
CentOS处理挖矿病毒 - kthreaddk
Debian 中招挖矿病毒发现及清理记录,唉~
最新发布
边学边用
10-01 489
2.安装 net-tools 工具包,使用 netstat-antlp | grep -e bash -e rsync 可以看到 -bash 有网络通讯,查了一下对面地址是外国的,XXX 的。4.清理完成,此时再观察一会儿发现挖矿的 -bash 再没有重新启动,CPU 和 内存 占用恢复正常,此时就可以删掉挖矿程序与计划任务了。,因为另外两个带有 pts/0 和 pts/1 说明这两个是我正常连接的 ssh 端的正常 -bash ,这两个要是干掉,那连接也就断了。3.干掉 -bash 的进程,
centos 处理挖矿病毒
weixin_44606690的博客
01-04 625
处理挖矿病毒,真的恶心啊占用CPU百分之50
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 960
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1276
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7965
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1465
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
记录一次centos挖矿病毒感染的经历
热门推荐
fengwuxichen的博客
04-26 1万+
公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。感染原因应该是redis没有设置密码导致的。记录一下临时处理记录。 安装busybox 由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。...
Centos qW3xT.2 挖矿病毒
BraveHeart
09-12 612
亲测,管用! https://blog.csdn.net/yitian_66/article/details/81304681
记一次centos云主机遇到挖矿病毒
weixin_47461688的博客
08-15 106
随后也没想太多,直接kill掉进程,结果进程还真被杀掉了。重新登陆机器,看了一下进程发现刚刚杀掉的进程又出现了。把定时任务删掉,也重新把进程给删掉了,本来以为这波稳了,但是!过了一会挖矿进程又有了,定时任务也被还原了!果然看到了一个奇怪的定时任务,随后正想把这个定时任务删掉,md发现root用户下居然也改不了。冷静下来以后,看了刚刚定时任务里的那个脚本,发现原来是用chattr命令把文件锁住了。今天出奇的收到云上的负载告警,然后登陆服务器一看,发现有一个莫名的进程在执行。重新再将进程杀掉,木马文件删除。
centos清理挖矿病毒[crypto][pnscan]
技术研究中心
07-16 1651
centos清理挖矿病毒[crypto][pnscan] 新买的云服务器cpu占用100%,瞬间想到挖矿木马。 排查过程如下: 1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。 2、想到挖矿木马都有一个特点,都会连接到外网,于是执行netstat -anptl命令,但提示没权限,狗日的netstat不能用了 3、想到使用chattr -i /usr/bin/netstat,但提示没权
记录一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1110
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
挖矿病毒zz.sh——记一次linux(centos)成为矿机后的排查与修复过程
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来记录排查过程中遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
centos系统清理挖矿病毒kthreaddk
极客开源之逍遥子
05-15 1994
服务器系统是centos, cpu使用超100%,找到占用cpu的进程kthreaddk, 网上一查原来是挖矿病毒。 分析解决: 找到kthreaddk进程号,kill -9 xxx , 杀掉后马上又重启,杀不死, 猜想是有定时任务,于是执行crontab -e,查看定时任务,果然存在,赶紧删掉,wq 保存 ,然后再次 kill -9 xxx杀掉; 执行top查看发现还是存在继续霸占着cpu,干不掉,继续 crontab -e查看定时任务发现换了目录文件继续存在,看来这样解决是不行的了,网上一搜有..
linux挖矿病毒清理
yb890102的博客
01-05 1551
网络安全挖矿病毒清流,linux中毒
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
03-26 1148
在收到阿里云的安全警告2条 1、异常登录-ECS在非常用地登录 2、恶意进程(云查杀)-挖矿程序 根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码 输入命令passwd 回车输入新的密码 第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接 iptables -I INPUT -s 68.183.140.39 -j DRO...
[kthreaddi]挖矿病毒处理,终于解决了!
weixin_41599103的博客
04-02 1万+
云服务器被黑了,kthreaddi这货导致的。 kill后会自动重启。 定时器查看,有定时任务,关闭定时任务,还是会出现新的,每次都是不同的目录。 找到其中一个文件,搞了很长时间才知道是一个elf文件还用upx3.96加了壳。去壳后,从3.91M变成10.23M. 使用strings命令导出到txt文件,惊喜来了,终于找到kthreaddi程序名。文件里的有点看不懂,有大神知道怎么弄吗?(文件下载)(下载不了的话可以评论区留下邮箱,) ...
centos挖矿病毒
04-26
一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值