linux低级挖矿病毒的查找定位

最新推荐文章于 2023-06-23 23:00:47 发布
最新推荐文章于 2023-06-23 23:00:47 发布
阅读量968 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43269461/article/details/106816048
版权

现象

挖矿病毒的特点之一就是会表现出CPU负载接近饱和,因此先用free -m指令查看CPU的负荷情况。

定位

  1. 使用ps -aux | head -1;ps -aux |grep -v "USER" | sort -nr -k 3 | head
    命令解析:查看CPU占用百分比前十的进程。head -1显示第一行,grep -v取反,sort -nr按照数字降序排列,sort -k 3按照第三列排列,head后面不加数字表示默认显示10行。
  2. 在kill掉异常进程之后可能会发现过一段时间或者重启后异常线程重新开启的情况,这可能是因为它开启了定时执行的操作或者开启了开机自启动。
  3. 使用crontab -l查看当前用户下的定时启动项目。
  4. cat /etc/rc.local查看是否有非法的开机自启动脚本。
Mr Sweet
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 2796
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
linux 查找恶意脚本,【技术分享】看我如何查找并解码恶意PowerShell脚本
weixin_30641597的博客
04-30 594
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言PowerShell的身影无所不在,我最近也遇到过越来越多的恶意PowerShell脚本。为什么攻击者热衷于使用PowserShell?因为许多Windows版本中都会自带这个工具,并且该工具可以访问WMI以及.Net Framework的全部功能,也能在内存中执行恶意代码以逃避反病毒软件的查杀,对了...
我的Linux病毒追踪记录
weixin_30567471的博客
09-09 175
第一次自己一个人全权负责做游戏服务器,对于Linux安全并不太懂,所以就在昨天,服务器遭到了攻击,刚开始,只是发现服务器的带宽占满了,以为是带宽不够用,可是想想,弱联网游戏对带宽占用也不高啊而且带宽加大一倍也于事无补,在UCloud控制台看到带宽的波形图,好几次都达到顶峰,于是我在服务器用iftop查看了网络流量监控,发现服务器总往一个ip发送数据包,一发就是1G,这流量,不仅耗带宽,还烧钱啊,网...
Linux 病毒kdevtmpfsi被挖矿的解决办法(三),因为又出现挖矿病毒文件了,所以需要继续查找源头
80后大叔爱学习
02-01 930
grep -r "newdat.sh" /*
Linux 病毒kdevtmpfsi被挖矿的解决办法(二),因为又出现挖矿病毒文件了,所以需要继续查找源头
80后大叔爱学习
01-29 458
crontab 这个文件被修改过,需要修改回去并加入特殊权限 chmod 644 /etc/crontab chattr +i/etc/crontab
X86平台上Linux低级初始化过程分析.pdf
09-07
本文主要探讨的是Linux在X86架构下的低级初始化过程,这是操作系统启动的第一步,直接影响到后续的系统运行和功能实现。 低级初始化通常包括以下几个主要步骤: 1. **BIOS自检与引导**:计算机开机后,首先执行...
Linux的neo4j安装包
06-15
- `dbms.connector.bolt.address`:设置Bolt协议的端口,用于图形数据库的低级访问。 - `dbms.connector.http.address`:设置HTTP接口的端口,用于图形浏览器或RESTful API访问。 5. **启动和停止Neo4j**: 在解压...
linux 离线安装wget
最新发布
08-10
Linux系统中,`wget`是一个非常实用的命令行工具,用于从互联网上下载文件,尤其在没有图形化界面或者网络连接不稳定的情况下,其离线安装就显得尤为重要。本篇文章将详细阐述如何在Linux环境下离线安装`wget`,...
Linux下的汇编语言.pdf
07-04
" Linux下的汇编语言.pdf" Linux下的汇编语言是指在Linux操作系统下的汇编语言编程。汇编语言是一种低级编程语言,使用symbolic representation来表示机器语言指令。汇编语言在操作系统与硬件打交道的过程中,需要...
qt linuxfb屏幕旋转可设置
06-16
首先,我们要理解Linux Framebuffer是一种低级的图形接口,它直接与硬件交互,为图形应用提供了一个简单的缓冲区来绘制像素。在Qt嵌入式环境中,如果使用了Linux Framebuffer驱动,那么旋转屏幕就需要对Qt的源码进行...
Linux入侵检测病毒清理流程
Climbman的博客
06-23 2392
Linux入侵检测病毒清理流程1.前言:根据阿里云快讯病毒公布:Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。
挖矿病毒排查并清除
zm96309的博客
02-28 4630
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有挖矿病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
Linux系统常见的病毒介绍(附解决方案)
makaisghr的专栏
06-16 8090
Linux系统常见的病毒介绍Linux系统常见的病毒介绍BillGatesDDGSystemdMinerStartMinerWatchdogsMinerXorDDosRainbowMiner Linux系统常见的病毒介绍 BillGates BillGates在2014年被首次发现,由于其样本中多变量及函数包含字符串”gates”而得名,该病毒主要被黑客用于DDos,其特点是会替换系统正常程序(ss、netstat、ps、lsof)进行伪装 主机中毒现象: [1] 在/tmp/目录下存在gates.lod、
服务器挖矿病毒的排查过程
weixin_33962621的博客
08-24 1989
今天同事反馈公司的某台服务器远程连接不上,登录服务器查看后,发现CPU使用率居高不下。kill掉后,一分钟有自动生成,整个排查思路如下:1、top 命令查看主机负载,确认可疑进程为bashd2、确认可疑进程尝试杀掉,pkill bashd ,但发现一会就出现,怀疑有定时任务3、排查定时任务,定时任务有2处可以设置,如下: crontab –l 发现并没有定时...
阿里云服务器中挖矿病毒处理方法,centos7
cy3329520的博客
01-21 2453
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿病毒。 然后我查资料,说是先通过 /proc/pid/exe 找到进程路径,但是我查了,直接报exe目录是空的。 这就神奇了,和网上说的不一样。是不是情况不一样。 然后我去看了定时任务:crontab -e 发现新增的一个定时器,名字叫.systemd-service.sh。 然后sh逻辑是显示一串类似秘钥的东西。 所以这个挖矿病毒的逻辑应该是通过redis的6379端.
服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
热门推荐
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。 现将清除挖矿病毒的步骤梳理如下: 1. 检测服务器是否有挖矿病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
服务器安全警告处理(查找挖矿病毒的方法)
名猿妮的博客
04-23 1291
服务器安全警告处理(查找挖矿病毒的方法) 方法一 查找进程并强制杀死相应的进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 查找病毒文件kinsing kdevtmpfsi find / -name kinsing find / -name kdevtmpfsi 查看周期任务cron,不一定在root用户下,有可能在postgres(数据库),docker(容器),PHPTest(PHP单元测试) cd /var/spool/
一次排查服务器挖矿病毒
架构师的成长之路的博客
09-23 2741
步骤一 top 查看cpu 发现挖矿病毒占用cpu。于是找到挖矿病毒的程序位置删除后,再kill掉进程。查看top cpu显示正常。搞定。 哈哈哈 步骤二 一会接到通知 服务器cpu过高,于是登录服务器top 查看发现一切正常,见鬼了。度娘 、google 。找到病毒源头 reids 弱密码漏洞 ssh 。于是: 1、修改redis 密码。 并删除掉里面的redis 中的病毒key 2、删除病毒文件 /root/.ssh/root 下的 3、删除定时文件(别被文件名骗了,病毒会伪装).
使用Linux KVM进行低级系统编程学习
"这篇文章是关于Linux KVM作为一个学习工具的入门介绍,作者Duilio Javier Protti在2009年10月1日发表于Linux Journal。本文将讲解如何利用KVM进行低级别系统编程,使得这个通常复杂且耗时的任务变得更为简单。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值