【实战】记录一次服务器挖矿病毒处理

最新推荐文章于 2024-05-05 20:37:48 发布
最新推荐文章于 2024-05-05 20:37:48 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: web安全 文章标签: 安全 ubuntu 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45694388/article/details/119085774
版权

信息收集及kill:

查看监控显示长期CPU利用率超高,怀疑中了病毒

在这里插入图片描述

top 命令查看进程资源占用:
在这里插入图片描述
netstat -lntupa 命令查看有无ip进行发包
在这里插入图片描述
netstat -antp
在这里插入图片描述
然而并没有找到对应的进程名

查看java进程和solr进程

在这里插入图片描述

ps aux :查看所有进程
在这里插入图片描述
除相关进程:kill -9(无条件退出进程)

为了防止有定时任务,再次启动恶意进程
crontab -l 命令查看正在进行中的定时任务
crontab -r 删除所有定时任务

在这里插入图片描述居然没有????

保存样本,删除木马进程文件:

find / -name kdevtmpfsi :查找进程文件(需要root权限)

最低0.47元/天 解锁文章
b1gpig安全
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux里面工具使用方法,linux免费查毒工具clamav安装和使用教程
weixin_42357256的博客
05-05 500
clamav是linux下的免费查毒软件,注意哦,是查毒,不能杀毒,至于查出的毒怎么处理那是下一步的问题了。一、安装。apt-getinstallclamav或者到官网选择最新版的三个文件,分别下载和安装。官网地址:http://pkgs.repoforge.org/clamav/wgethttp://packages.sw.be/clamav/clamav-db-0.97.1-4.el5....
Linux安装ClamAV杀毒软件踩坑记
KIKO_MIZUHARA的博客
08-22 2056
失败案例–源码编译安装 参照文章:https://jingyan.baidu.com/album/8cdccae90505fc315513cd60.html?picindex=13 问题1:如何将Windows上的文件上传至Linux服务器呢? 小编本来打算用scp命令的,但是小编的主机名是中文,因此成功的概率不高,所以采用了更加简便的方法,使用xshell的rz命令。命令行输入rz即会弹出此类窗...
164、应急响应——挖矿脚本检测指南&样本定性&文件清楚&入口修复
qq_55202378的博客
03-27 761
这台服务器开放了web服务,直接用河马扫描是否存在后门,对比挖矿脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。被植入挖矿脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。删除进行,下面这个图就是竞争型挖矿脚本,它会杀死其他挖矿病毒的进程。挖矿脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。挖矿的前提是,黑客已经取得了你电脑的权限,如何取得是重点。判断被植入挖矿脚本,最重要的是看CPU和GPU占用情况。记录挖矿脚本存在的时间。
kdevtmpfsi样本.zip
03-16
kdevtmpfsi样本,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理
最新发布
2401_83974173的博客
05-05 746
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
杀毒软件 clamav 的安装和使用
热门推荐
无痕的博客
07-22 3万+
杀毒软件 clamav
Linux病毒扫描工具ClamAV(Clam AntiVirus)安装使用
楚枫默寒的博客
05-12 1万+
一、简介 Clam AntiVirushttp://www.clamav.net/download.htmlClam AntiVirus是Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。 二、安装 安装epel软件源 # 安装 [root@Centos7 ~]# yum install -y epel-release # 缓存 [root@Centos7 ~]# yum clean all && yum makecache
Linux之ClamAV杀毒软件YUM安装和使用
月生的静心苑
02-16 5259
一、ClamAV简介   ClamAV是一款开源(GPL)反病毒引擎,可用于多种情况,包括电子邮件和web扫描,以及端点安全。它为用户提供了许多实用程序,包括一个灵活且可扩展的多线程守护程序、一个命令行扫描程序和一个用于自动更新数据库的高级工具。软件特点: 命令行扫描程序。 sendmail的Milter接口。 支持脚本更新和数字签名的高级数据库更新程序。 病毒数据库每天更新多次。 内置对所有标准邮件文件格式的支持。 内置对各种归档格式的支持,包括ZIP、RAR、Dmg、Tar、GZIP、BZIP2、OL
一次OOM问题排查过程实战记录
01-05
上周运维反馈线上程序出现了OOM,程序日志中的输出为 ...看线程名称应该是tomcat的nio工作线程,线程在处理程序的时候因为无法在堆中分配更多内存出现了OOM,幸好JVM启动参数配置了-XX:+HeapDumpOnOutOfMemoryE
优雅的处理vue项目异常实战记录
12-11
是时候一站式统一处理异常!!!(针对vue项目) 全局异常捕获 Vue.config.errorHandler = function (err, vm, info) { // 指定组件的渲染和观察期间未捕获错误的处理函数。这个处理函数被调用时,可获取错误...
一次SSH破解密码实战
01-20
这个服务器应该开启了禁ping 那么我们初步断定是个linux服务器,154段子 那么我们nmap扫描一下这个ip的开放端口。 开放了22ssh端口,80http端口,8888的一个服务 我们进入http://154.213.29.152:8888/ 发现使用了...
一次实战记录-附件资源
03-05
一次实战记录-附件资源
Linux应急响应-挖矿(kdevtmpfsi)——事件复现(含样本)
W小哥
03-16 4594
此次复现挖矿清除不溯源,只是简单的记一下 一、事件背景 某天打开我的服务器,发现CPU飙到100%。肯定有问题,应该又被挖矿服务器:Linux系统 二、事件处理 2.1 top 查看cpu占用情况,找到占用cpu的进程 最后是 kdevtmpfsi 根据上面的进程名查看与内网的 tcp 链接异常 ,看到陌生ip,查出为国外ip,估计主机被人种后门了 kill -9 但是过了一会儿又自动启动了 查看定时任务:crontab -l 删除定时任务:crontab -r 删除相关文件: find /
freshclam
weixin_30815427的博客
04-12 1192
1 3 * ** /usr/local/clamav/bin/freshclam 定时更新、定时杀毒 转载于:https://www.cnblogs.com/xiaobiaomei/p/8807368.html
一次解决kdevtmpfsi挖矿病毒
u010737670的博客
05-10 961
ikdevtmpfsi病毒不断出现的解决历程。。。
Linux下安装开源杀毒软件ClamAV对服务器进行查杀
rendongxingzhe的博客
09-15 1002
Linux下安装开源杀毒软件ClamAV对服务器进行查杀
Linux被kdevtmpfsi挖矿病毒入侵解决方案
qq_42836447的博客
01-10 233
转载:阿里云服务器挖矿病毒了,名称为 kinsing
一次杀毒工作--kdevtmpfsi挖矿病毒
Nickkun的博客
12-28 631
起因:redis配置不安全导致 参考文章: https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.2.828c1848kuRv6p 1.漏洞描述 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用。 在特定条件下,如果 Redis 以 root 身份运行,黑客可以给 root 账号写入 SSH 公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据。一旦入侵成功,攻击者可直接添加账号用于 S
一次MySQL Slave库恢复实战记录
05-14
下面是一次MySQL Slave库恢复的实战记录,供参考: 1. 确认从库数据丢失或异常情况 在主从复制的环境下,当从库出现异常或数据丢失时,需要先确认是从库数据丢失还是复制链路中出现问题。 可以通过以下方式进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1gpig安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值