linux服务器被植入挖矿程序一些处理

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量1.1k 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43570089/article/details/101540502
版权

环境:服务器在dmz区,安装有weblogic,jdk,还有redis
推测:redis安装为免密登录,这个漏洞造成中毒(不确定)
1、开发人员发现cpu使用率99%+(有时超过100%哦)
2、发现异常proecho占用近乎全部cpu资源。kill proecho,一会就重新启动
3、查看proecho发现在工作目录和/tmp目录下有疑似文件,删除。
查看定时任务,清除定时任务。
4、之后,发现还是重新生成疑似文件。
5、将疑似文件赋予只读权限。然后就不高cpu啦。

但是,一直有老长的数据+大小写字母组成的程序。不定时生成,kill删除。还是会生成。

黑色小白牛
关注
专栏目录
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1345
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
服务器被攻击植入挖矿病毒,CPU占用高问题排查处理(.systemd-service.sh)
gottst0113的博客
03-06 1711
客户服务器遭攻击,部署的应用服务经常性被停止,服务器CPU占用居高不下,top查看如下: 可以看到第一个bash任务,占用cpu近400%,非正常的应用程序和脚本任务,多半是被植入了木马信息。 查看该进程的符号连接,发现已经是被删除的状态 /usr/bin/-bash (deleted),无法查看其启动程序的信息 查看定时任务:cat /etc/crontab,发现都是正常的应用程序定时脚本 又用 crontab -l 查看了一下,发现了异常定时任务如下,同top里的异常任务一致...
Linux服务器挖矿及解决办法
qq_40939094的博客
01-08 2689
记录一次Linux服务器挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
linux服务器植入木马挖矿程序的解决过程记录。
weixin_38067745的博客
12-24 4852
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 901
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
【科普+技术】Linux服务器被占用大量资源,用三大网站排查ip地址和初步处理挖矿病毒
Senoh的博客
09-30 3658
我们老百姓也没法挣扎,入门小白就开始细思极恐,大佬们更坐不住了(网络安全越接触越知道人外有人),提高安全意识是我们最后的倔强了
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 2191
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1447
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
关于服务器被入侵+植入病毒木马
不会飞的鱼、
11-02 1546
近期项目中遇到了几个棘手的问题,海外服务器植入木马WK程序。之前一直听说xxx的服务器被入侵被黑,这次实打实遇到,还是没有做好安全防护策略,看了下应该是通过redis无密码漏洞渗透进来,9月14日早晨,客服侧反馈xxx系统从早晨6点半开始无法收到告警和工单,排查xxx相关网元服务都正常运维,内存,磁盘使用率占用正常,其中cpu使用率较高,存在异常情况。随机展开排查。
记一次linux遭遇挖矿病毒之旅
yiyihaiya的博客
06-12 230
开发那边构建jenkins项目发现构建失败,我去排查发现,git拉取不了代码,我一开始以为是ssh没权限,公钥失效了,后来发现22端口连接不上。 后来我试着ssh连接别的机器发现报同样的问题,经过网上搜索这种问题的原因,ssh服务没启动,host.deny,防火墙规则,甚至把openssh服务卸载了重装仍旧这个错误。 中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来在命令行top一看/tmp目录有个非法二进制文件占用了300%CPU,这种来历不明的二进制吃CPU的程序一般是挖矿
linux 服务器CPU被挖矿的一个解决方法
m0_51789083的博客
04-04 2164
发现 敲代码的时候阿里云来了个电话,说你的服务器疑似挖矿,还发了个邮件, 人直接懵了,就去阿里云看看,一看cpu直接一直100%, 开始的时间是十一点二十多(这个时间很重要,是解决问题的一个关键) 还发了安全警告 解决过程 上网查解决方法,然后发现应该是我的redis开发端口后没设密码就被这种无目的攻击给整到了,然后有个解决方法说是删除挖矿病毒crypto和pnscan文件,附上链接,我这只搜到了pnscan,删掉后网络使用率就直接变成正常的了,但是cpu使用率还是很高,就进入服务器使用top命令查看哪
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3865
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
Linux挖矿应急响应处置
weixin_43253823的博客
03-06 2031
记一次Liunx挖矿应急处置流程
Linux设备受恶意挖矿劫持攻击增加
petpig0312的博客
07-13 328
Bianews 7月4日消息,据Bitcoinist消息,网络安全公司WatchGuard Technologies的最新报告指出,2018年第一季度,几乎所有常见的Linux流氓软件变体都被设计成后台挖矿程序。这种程序最终将耗尽设备的处理能力。Bianews 7月4日消息,据Bitcoinist消息,网络安全公司WatchGuard Technologies的最新报告指出,2018年第一季度,几...
linux contos服务器在端口暴露的情况下被植入恶意代码, 解决方案!
Lonelypatients°的博客
06-30 502
当使用 chattr 进行权限更新时 错误: -bash: /usr/bin/chattr: Permission denied 代表权限不足无法进行恶意脚本删除 解决方案: chmod +x /usr/bin/chattr 直接使用chattr 再使用 rm 时 报错 错误: rm: cannot remove ‘newinit.sh’: Operation not permitted 最终解决方案: lsattr -a -i chattr -i newinit.sh chattr -a .
服务器植入挖矿程序
Fight_Rain的博客
06-11 6306
在阿里云管控台看到有两台服务器cpu使用率一直在100左右,而平时只有不到1 解决1: 连到服务器,top命令发现wipefs进程占用大量cpu资源,先kill掉该进程,再删除一些文件,具体参考https://www.cnblogs.com/liuchuyu/p/7490338.html,删除时可能遇到Operation not permitted,一般是文件属性为 —i———-,先cha...
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 3030
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
windows挖矿程序下载
07-27
- *1* [服务器是如何被植入挖矿程序的](https://blog.csdn.net/u014294325/article/details/106340131)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值