应急响应-挖矿病毒(kswapd0)

最新推荐文章于 2024-07-12 23:42:58 发布
最新推荐文章于 2024-07-12 23:42:58 发布
阅读量1.1k 收藏 5
点赞数
文章标签: 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45690589/article/details/133738994
版权

序言

腾讯云服务器,被一个英国老外植入kswapd0挖矿病毒。

应急部分

确认病毒文件

1.首先查看一下系统的进程,挖矿病毒会将CPU占用率达到200%

top

知道后可以直接kill掉

kill -9 PID

知道了名字我们可以通过名字搜索一下看有哪些文件

find / -name kswapd0

注:tmp文件夹下的文件为隐藏文件

通过搜索可以得知该病毒文件在以上两个位置,查看一下系统的网络通信

netstat -anptl

发现存在两个连接是通向2个奇怪的ip地址的,其中之一就是kswapd0,还有一个是rsync(是病毒缓存文件)和刚刚搜索的文件一样,可以确认病毒的文件。

处理病毒文件

访问病毒在root下的目录

 发现定时任务cron.d访问一下看看。

既然来了就扒拉扒拉吧,随即访问了a文件夹,在文件夹发现了一个key,查看cert_key.pem(看着都不是好鸟)

好家伙,这是个远程登录的私钥,我直接好家伙。

既然发现你小子了,直接将配置文件全部直接rm-rf送走。

然后删除完.configrc.5的文件后,去解决tmp下的缓存文件

 

这是个压缩包不能直接运行,肯定是有脚本来执行的,估计是在.configrc5里面,没有深入扒拉,不过问题不大,早早的把病毒文件直接打包准备研究了。

这里也是直接rm-rf送上飞机票

最后将运行的文件给kill掉,这里没有在一开始就kill掉方便通过进程去找病毒文件,看个人习惯吧。

kill -9 2662 (跟的病毒进程的PID)

验证下定时任务是否清理掉了:

  cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}

可以看出定时任务已经被清除掉了。

查看一下ssh的密钥有没有异常文件,

cd /root/.ssh

野九哦
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ubuntu16.04.01 kswapd0 进程占用cpu很高,中了亡命徒(Outlaw)挖矿B毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
05-17 872
top看一下主机的资源使用情况 kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。(copy) netstat -antlp|grep kswapd0 tcp 0 0 192.168.31.230:45832 45.9.148.58:80 ESTABLISHED 28315/kswapd0 netstat -antlp|grep -e
kswapd0病毒处理
GeeLoong`s Blog
07-17 7384
kswapd0挖矿病毒
清理服务器中的挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1109
挖矿进程kswapd0&tsm清理
玄机——第九章-查杀linux挖矿病毒 kswapd0应急响应) wp
最新发布
焦虑的焦虑
07-12 2242
第九章-kswapd0挖矿
Linux病毒 - 挖矿木马 kswapd0
富强、文明、自由、平等、公正
06-05 419
就立刻联想到了,是挖矿木马,但是kswapd0是系统进程,感觉哪里又不太对,本想百度确认一下,结果发现很多人都遇到了这种木马,所以就记录一下。有些病毒还会关联其他进程,可以使用netstat、lsof等工具排查一下,彻底根除。这里分享一个小技巧,怎么样区分, kswapd0是管理虚拟内存的系统进程,还是挖矿的木马病毒。今天客户的服务器CPU爆满,NGINX进程被杀死。通过pid很容易就能区分是不是木马病毒
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
热门推荐
小韩的博客
04-03 2万+
服务器(Linux挖矿木马病毒(kswapd0进程使cpu爆满)
kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
255.255.255.0
03-29 2410
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称,挖矿注意排查 ......
kswapd0
gRpc的博客
11-12 1014
swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。...
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1138
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
伪装为kswapd0进程的挖矿木马
分享身边生活经验blog
06-26 2482
一、起因 腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看,闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程 查使用内存最多的K个进程 方式一:ps -aux | sort -k3nr | head -K image.png sort参数说明: |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序,不加-n按字符串大小
记一次挖矿病毒的清除,欢迎来讨论
CSDNyingying的博客
01-26 1830
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
Linux下清除挖矿病毒kswapd0
zc20081111的博客
04-01 937
文件路径/proc/11389/root/var/jenkins_home/workspace/UpdateJenkins/trace。容器视角文件路径/var/jenkins_home/workspace/UpdateJenkins/trace。再次强调,一定要修改密码,强度要高,设置了类似Pass1234这类简单密码,直接GG。文件路径/root/.configrc5/a/kswapd0。容器名jenkins001 ---这个是我被黑的容器名称。服务器存在香港异地登录。虽然只是学习用的便宜机器。
宝塔面板kswapd0挖矿病毒清除教程一
QQ56669388的博客
08-19 705
4、定时任务的目录在 /var/spool/cron。3、查看linux 所有用户的定时任务。通过定时任务反反复复启动检查后清除。
Linux服务器kswapd0病毒查杀处理
培根芝士的专栏
03-30 1261
公司的测试服务器突然登录不上去了,用宝塔查看了一下,发现CPU被占满了,登录腾讯云账号,发现有几条预警,说服务器被一个乌克兰的IP攻击了
关于木马病毒kswapd0的处理
We choose to go to the moon in this decade and do the other things, not because they are easy, but beacase they are hard.
03-13 1601
关于木马病毒kswapd0的处理
Linux系统恶意代码】“亡命徒(Outlaw)僵尸网络” Kswapd0挖矿病毒的发现与清除
AGATHA_66的博客
01-11 1939
系统被SSH暴力破解后,攻击者会在系统目录下添加.configrc5文件夹,文件结构内容如下,名为“a”的文件夹下存放开源门罗币挖矿程序kswapd0(xmrig)和启动脚本,名为“b”的文件夹下存放后门程序run和执行脚本。执行stop脚本,睡眠10秒,列出当前工作的路径并输出到dir.dir的文件中,执行kswapd0挖矿程序,把最后运行的后台进程的PID写入到一个.pid文件中。
进程kswapd0与events/0消耗大量CPU的问题
onlyForCloud的专栏
07-09 1875
http://www.nowamagic.net/librarys/veda/detail/2539 今天下午网站宕了两次机,发工单给阿里云,发现原因是服务器的CPU 100%了。 重启服务器后,使用 top 命令看看是哪些进程消耗那么大的 CPU 使用。盯了有好十几分钟,主要消耗 CPU 的进程有两个,一个是 mysql,另一个是 apache。下面的图可以看到,mysql 占用了很
centos kswapd0
03-09
kswapd0Linux内核中的一个守护进程,它负责处理内存交换(swap)的相关操作。当系统内存不足时,kswapd0会将一部分不常用的内存页面(Page)移动到交换空间(swap space)中,以释放物理内存供其他进程使用。 CentOS是一种基于Linux内核的操作系统,它是Red Hat Enterprise Linux(RHEL)的开源版本。kswapd0在CentOS中也存在,并且在内存管理方面发挥着重要的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值