记一次[pnscan]服务器入侵解决[scan]解决过程

最新推荐文章于 2024-08-08 12:00:23 发布
最新推荐文章于 2024-08-08 12:00:23 发布
阅读量776 收藏 2
点赞数
分类专栏: 工具使用 文章标签: linux redis 木马 病毒 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41806489/article/details/119173193
版权
本文讲述了作者在服务器中遇到未知进程pnscan高占用资源的问题,通过ps和grep定位,发现是木马入侵。经过反复删除相关文件,最终定位到木马藏于Redis配置文件,修复后强调了加强默认端口管理和防护的重要性。
摘要由CSDN通过智能技术生成

1.发现过程

突然发现自己的程序被莫名的终止。随后用top命令查看资源占用情况,发现有一个pnscan占用了大部分的资源。

2.难点

这个进程的pid在实时刷新,直接用kill-9 +pid的方式无效

3.解决办法

第一步:ps -aux | grep pnscan
第二步:定位到文件后进行删除。
第三步:此时发现,木马进入初始程序,疯狂反扑,现在后台进程中多了个[scan]进程,占用cpu资源70%左右。
第四步:重复第一步与第二步,将文件删除。此时可以发现,木马病毒刚好在redis的配置文件目录下。
删除后服务器正常了。

后记:

以后要加强默认端口管理,增加默认端口的映射等。

摩天崖FuJunWANG
关注
专栏目录
公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过
weixin_54626591的博客
08-24 649
公网中Linux系统下Redis使用注意事项以及被pnscan病毒攻击的经过
一次服务器宕机后数据库恢复的过程
生命在于折腾
09-20 7489
现象现象很简单,数据库服务器被宕机,当然是在没有停数据库服务的情况下。机器重启后,试图重启MySQL服务,无果,查看错误日志:170920 0:30:17 InnoDB: Assertion failure in thread 140107687212800 in file /export/home/pb2/build/sb_0-2629600-1291399482.5/mysql-5.5.10
pnscan挖矿病毒攻击解决方法
最新发布
qq_63126439的博客
08-08 170
然后在网上查找发现是这个pnscan挖病毒,然后就开始找解决方法,最开始看见的说是因为文件被破坏的太多了,所以有的就重装系统了,然后我查了查我的文件好像么怎么被破坏,然后就开始想要去删掉这个。不断的用kill -9 删除进程但是会不断的有新的出来。ll 查看里面的文件,就会发现多了个pnscan。然后就会发现多了一个这个东西,想要直接删还删不掉。rm -rf authorized_keys删除。这个文件就直接rm -r pnscan就可以。需要做的就是解除这个属性,然后再删除。
推荐开源项目:pnscan - 并行网络扫描工具
gitblog_00035的博客
06-20 401
推荐开源项目:pnscan - 并行网络扫描工具 pnscanPeter's Parallel Network Scanner项目地址:https://gitcode.com/gh_mirrors/pn/pnscan 项目介绍 pnscan是一个专用于IPv4 TCP网络服务调查的工具。它由Peter Eriksson开发并维护,能够帮助你检测如SSH、FTP、SMTP、Web和IDENT等服务...
一次linux服务器入侵分析报告
10-26 1310
 一天,接到朋友的电话,他们公司的web服务器被投诉发送垃圾邮件,要求紧急处理,朋友让我过去帮他检查一下。我听了很迷惑,web服务器怎么会发送垃圾邮件,朋友告诉我web服务器系统中根本没有安装mail服务,应该是不可能发送垃圾邮件的。直觉告诉我可能是被别人hacking了?     我到了朋友公司的机房,使用securecrt登陆到服务器ps一下,发现有几个异常的程序,如下图一所示,有一个sen
Linux删除文件出现rm: cannot remove `.user.ini': Operation not permitted
江南极客
01-12 4万+
Linux中rm -rf的威力是十分巨大的,特别是附带了 -f 参数,不少新手都干过用root用户执行 rm -rf /命令这种傻事,如果云服务器没有快照,简直就是灾难,从根目录开始所有文件被递归删除,连系统都被损坏。 但是,偶尔也会遇到使用rm -rf也删除不了的文件,执行后报rm: cannot remove `.user.ini': Operation not permitted,如
录阿里云被挖矿病毒pnscan盯上的一次
dfdsfdsfwsedf的博客
12-19 989
首先第一步,挖矿病毒一定会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修改。不知道为啥,今天部署了一个后端程序,突然黑客大佬就强行塞进了一大堆病毒,其中最熟悉的还是我们的老顾客,pnscan,臭名昭著的挖矿病毒。然后使用新的chattr文件修改被锁住的chattr。然后给新的chattr赋权限,并复制过去替代锁住的。然后查看修改后的属性,只要没有-i -a就行了。# 查看公钥文件的权限属性。
血泪教训!服务器入侵怎么办?排查过程全分享
2302_76672693的博客
09-09 1082
血泪教训!服务器入侵怎么办?排查过程全分享
springboot启动报错 Failed to scan.....derbyLocale_zh_TW.jar异常解决
大数据梦想家
02-08 7925
        最近在调试Springboot项目的时候,发现每次启动控制台都会打印这样的一个异常信息:         其中,最明显的一个信息是:        &n...
排查腾讯云服务器被挖矿病毒pnscan】挟持
fanxindong0620的博客
09-27 6509
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
入侵Tomcat服务器一次实战描述
javaqun的博客
10-21 5695
到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站都采用或者曾经采用Tomcat的Container容器执行Servlet 与JSP,可想而知这个服务器软件所具有的前途。那他们的安全性如何呢?一起来看看吧!  小知识:Tomcat是Sun的JS
基于Sane成功解决路由器改OpenWrt打印扫描服务器的手机移动端(IOS、Android)扫描功能实现问题
Theirsky的博客
02-15 3873
基于Sane成功解决路由器改OpenWrt打印扫描服务器的手机移动端(IOS、Android)扫描功能实现问题。
阿里云linux服务器一次糟糕体验-pnscan病毒
qq_37372909的博客
06-20 477
阿里云新买的linux,被安装兄弟安装后,不到一周中了pnscan挖坑病毒
Linux被kdevtmpfsi,pnscan挖矿病毒入侵
懒得一批的打工人博客
08-17 919
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会高占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379
录腾讯云服务器被植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 817
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
一次 newinit.sh 相关病毒处理
muyu_feng的博客
09-26 4644
ps:在这之前经历过五六次木马病毒攻击,都是搞个定时任务下载脚本,然后就拿你服务器搞事情。去年活动 我自己买了一台腾讯云服务器 100多 三年的(巨便宜,现在再也买不到 QAQ)自己玩的。然后服务器被挖矿被封了,钱倒是退了,可再也买不到这么便宜的服务起了。因为是刚弄的一台16G服务器,才部署2个项目运行几天一切正常。再次部署多实例时发现,已部署好的服务老是掉,项目日志一切正常,感觉不太正常。去查看 隐藏权限中会多了ai权限 ,它修改了很多文件权限。最后还是CPU100%的问题只能重启服务器,再看就好了。
linux出现command not found的解决方法
热门推荐
川在路上
02-25 5万+
linux出现command not found,主要是两种原因造成: 1、该命令所属的程序未安装。 2、未配置环境变量。 今天在配置hadoop环境变量时,修改~/.bashrc 文件导致常用命令如ls,vi,vim,mv等全部提示command not found。原因是改~/.bashrc 时把环境变量改坏了。 解决方法: 1、# export PATH=$PATH:/usr/lo
腾讯云服务器被黑客挂pnscan病毒排查
范大的博客
10-19 1482
腾讯云服务被黑客挂载病毒,CPU负荷过高且top无法查看
阿里云服务器pnscan挖矿病毒入侵如何解决
m0_64344919的博客
01-26 1259
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
12c数据库优化:解决不当使用index fast full scan问题
- **Index Fast Full Scan**:此操作是全索引扫描,它一次性读取整个索引的所有块,而不进行回表操作,适合于对索引进行全量访问,例如统计索引中录的数量。当查询涉及全表或大部分数据时,可能比全表扫描更快,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值