记一次排查挖矿进程(dbus,autoupdate)

最新推荐文章于 2023-08-11 12:00:00 发布
最新推荐文章于 2023-08-11 12:00:00 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43568232/article/details/119186674
版权

线上服务期cpu高达60%,服务器配置32个逻辑cpu,日常cpu最多也就10%左右
开始没有怀疑是挖矿进程,毕竟cpu没有飙到100,还能让我顺利登录服务器瞅一瞅,这不符合挖矿大佬的一贯作风啊
本人虽说不是专业运维,前后也遇到过四五种漏洞导致的挖矿进程(jenkins,xxlJob,redis等)
既然漏洞的大门是我打开的,那就要由我来关上

中了挖矿病毒,只杀挖矿进程是一定杀不干净的,必须找到该挖矿病毒是从哪个漏洞进来的,
找到是服务器本身组件的漏洞还是部署的服务中携带的漏洞
漏洞修复后,再把相关进程及文件清掉,挖矿病毒才会被消灭干净,
当cpu彪高影响线上,可以先把挖矿进程kill,把cpu降下来,再排查问题出在哪

我遇到过的几种挖矿病毒都会改写crontab定时任务,redis的会把定时任务写在redis数据库中

开始排查时,所有挖矿病毒的文件都在我们的后台管理springboot jar包同目录下,根据这一特征,我们升级了springboot内置tomcat版本,修复了tomcat低版本的漏洞,可好景不长,死灰复燃,又经排查,发现shiro权限管理低版本有反序列化漏洞(shiro-550),通过该漏洞可实现上传文件到特定目录下,没错,就是你了,后升级了shiro至最新版本,清掉挖矿进程,cpu也降下来了

https://www.4hou.com/posts/MN3B
https://mp.weixin.qq.com/s/kZExlJ62LVPOlufkurhBjw

工藤新一77
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单处理一下进程
zoeou的博客
11-11 488
进行尝试修改cron.d文件位置,再kill -9 2192163, 无效,过了一会又自动重启。定时任务已经被启动过,此时修改cron.d没去重启crontab的话.应该是无法重启定时任务的。接收服务器异常报警短信,进入服务器查看进程,显示cpu高占率的进程,删除之后,再kill进程,删除定时任务,再观察定时任务日志,最终定时任务日志正常的…也没有异常进程出现…原因是服务器的账户密码太很简单,查看进程运行源文件位置。修改为16位复杂密码,
威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂牟利 ...
测试0901-1
02-01 252
一、背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。涉及的漏洞除了ThinkPHP远程命令执行漏洞,还有JBoss、Weblogic、...
:解决阿里云服务器程序恶意进程
绮梦寒宵的博客
10-26 3116
今天手机上午收到如下信息(出问题的服务器是平常自己用来测试的服务器,并没有设置任何防护): 解决过程: 1.登录上服务器发先服务器非常卡,直接使用top -c命令检查进程CPU的占用率,果然发现了问题,看图: /bin/dhpcd 占用了99%的内存 2.查看定时任务,是否有不明的定时任务 ①使用crontab -l命令查看,没有发现不明定时任务 ②cat /etc/crontab,同样没有发现不明定时任务 3.检查端口的状态 netstat -aulntp 发现tcp连接有一个不明的外国ip 复制到
【Linux】排查进程病毒查找
qq_39165617的博客
02-28 6098
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
进程wnTKYg解决方案
weixin_34403693的博客
11-12 137
  阿里云推送了一段短信:您的服务器出现了入侵事件:进程。赶紧top一下      CPU占用率99%,好气哦   pkill wnTKYg 先杀死再说   几秒后又出现了,肯定有自动执行脚本   crontab -l 果然有两个(此处没有截图),立马删掉 /var/spool/cron/ 下的所有文件,   还是出现了wnTKYg,重复几次以上的操作,发现。。。麻辣鸡,ddg.1...
dbus的c++封装以及多进程dbus双向通信例程
12-10
主要是对dbus进行c++封装成了一个dbus类,对外保留发送和接收的接口,方便使用;另外实现多进程dbus的双向通信测试,详细说明见博客<<Dbus 的编译(移植)以及双向通信使用例程>>
node-dbus-next:node下一个很棒的节点dbus
05-14
下一个很棒的NodeJS DBus库。 关于 dbus-next是DBus的功能齐全的高级库,主要用于将应用程序集成到Linux桌面和移动环境中。 桌面应用程序开发人员可以通过实现常见的DBus标准接口或创建自定义插件接口,使用此库将...
linux下的多进程通讯DBUS例程
04-09
linux下的总线通讯DBus的一个实例,还不错。
交叉编译dbus/glib/dbus-glib
04-15
. ├── dbus-1.12.20.tar.gz ├── dbus-glib-0.106.tar.gz ├── expat-2.3.0.tar.bz2 ├── glib-2.34.1.tar.xz ├── libffi-3.3.tar.gz ├── README └── zlib-1.2.11.tar.gz
android dbus应用
02-22
在 Android 系统中,DBus 是一个基于 Linux DBus 技术实现的进程间通信(IPC, Inter-Process Communication)框架。DBus 允许不同进程之间的应用程序通过发送消息来相互协作,实现了服务的发布、订阅和调用,是 ...
知乎员工,游戏后端主程拥“兵”自重,拼多多的 bug ,我看 IT 界发生的这几件大事...
非著名程序员
01-20 937
【回复“1024”,送你一个特别推送】这几天 IT 界可以说是热闹非凡,一点也不平静。都说互联网的虚拟世界里丰富多彩,让人流连忘返,岂不是互联网世界的缔造者的 IT 界更...
服务器(Linux)木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux)木马病毒(kswapd0进程使cpu爆满)
针对病毒的简易三板斧
最新发布
wangluoanquan111的博客
08-11 733
本文只基础说明遇到病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。
dbused把我的CPU占满了!linux服务器病毒的解决历程
Ryan2k的博客
02-26 8646
dbused把我的CPU占满了!linux服务器病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbused的进程占满了! reboot重启服务器之后,以root身份登录服务器,发现cpu是正常的。使用top命令查看,dbused并没有运行,但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户,该用户的命令却时不时运行,这让我感到很奇怪。 此时登录tung用户后,dbused便立
DBus学习笔
mznewfacer的专栏
04-18 1万+
http://dotnet.cnblogs.com/page/76759/?page=1 作者:Jerry_Chen  来源:www.meegoq.com  时间:2010-10-12  阅读:513 次  原文链接   [收藏]   整页浏览 摘要:DBus作为一个轻量级的IPC被越来越多的平台接受,在MeeGo中DBus也是主要的进程间通信方式,这个笔将从基本概念开始录笔者学习
一次解决dbused病毒
qielanyu_的博客
10-10 1099
参考文章: 解决病毒导致的cpu100%_Newbie_J的博客-CSDN博客 dbused把我的CPU占满了!linux服务器病毒的解决历程_gitTung的博客-CSDN博客_dbused 一次病毒的处理过程复盘-简易百科 引言:直接影响,导致confluence无法使用。top时发现跟confluence账号相关,于是从这个方面着手,开始解决问题 1.进入 /var/spool/cron/ ,发现存在confluence5的一个定时任务,其内容如下: * * * *
“漏洞利用之王”HolesWarm木马新增大量攻击模块强势来袭
Jinmindong
03-15 270
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
DBus入门实践(1): 基本概念
TonyHo's NotePad
09-09 6031
基本概念 可以参考下面链接.或者是官方的教程.  1. linux,dbus示例 Knowing some basic things by example, 推荐: http://laokaddk.blog.51cto.com/368606/943133         http://laokaddk.blog.51cto.com/368606/943148/   2. Docume
dbus实例讲解(四上):使用dbus-glib
技术代码资料库
01-13 264
dbus-glib是dbus底层接口的一个封装。本讲我们用dbus-glib做一个dus接口,并写一个客户程序。 1、接口 1.1、编写接口描述文件 首先编写接口描述文件。我们要实现的连接的公共名是"org.freesmartphone.ogsmd",接口描述文件如下: $ cat smss.xml &lt;?xml version="1.0" encoding="UTF-8" ?&gt...
多个进程调用同一个dbus命令
06-06
当多个进程需要调用同一个DBus命令时,需要确保DBus系统能够正确处理每个进程发出的命令请求。具体的处理机制如下: 首先,需要确保每个进程都具有访问DBus系统的权限。通常情况下,DBus会在系统启动时自动初始化,并为每个进程提供一个DBus连接。进程可以通过DBus连接向DBus守护进程发出命令请求,DBus守护进程则负责响应这些请求。 其次,在多个进程同时请求DBus命令时,需要考虑DBus的并发性和同步性。DBus守护进程需要能够正确地区分每个进程发出的请求,并保证请求的顺序和及时性。一般来说,DBus会采用一些同步机制,比如锁或信号量,来保证多个进程之间的数据同步。 最后,需要考虑DBus命令在不同进程之间的数据传输和共享。DBus会根据具体的命令,将数据传递给DBus守护进程或其他进程。在这个过程中,需要确保数据的正确性和安全性。一些进程可能需要访问DBus系统中的敏感数据,这时需要配置DBus的安全策略,以保障数据不被泄露或滥用。 总之,当多个进程需要调用同一个DBus命令时,需要注意协调多个进程之间的数据和请求,并确保DBus系统能够顺利处理每个请求。只有这样,才能实现DBus命令在多个进程之间的灵活调用和数据共享。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值