linux服务器挖矿程序xmrig入侵以及解决方案

最新推荐文章于 2024-07-28 00:42:26 发布
最新推荐文章于 2024-07-28 00:42:26 发布
阅读量1.4w 收藏 19
点赞数 3
分类专栏: 案例分析 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46575363/article/details/120083375
版权

记一次Xmrig挖矿木马排查过程
2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,马上打开电脑查看
在这里插入图片描述
控制台CPU占用
在这里插入图片描述
原因分析与解决方案
寻找原因
查找挖矿进程
top -H

在这里插入图片描述
从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名)

查找挖矿程序文件位置
root@xxx:/# find / -name ‘xmrig
/root/.c3pool/xmrig --config=/root/.c3pool/config.json

我们尝试kill掉挖矿程序
kill -9 13501
发现kill掉后,进程任然会重新起来
只能通过rm -rf .c3pool/ 删掉其目录下的文件
删除后再kill掉进程发现没有再起来,接下来赶紧查看是哪的问题导致
请添加图片描述
经查看发现是从redis 上进入的,修改的ssh的key
总结

  1. 查看计划任务
    Linux 系统中默认创建了计划任务后会在 /var/spool/cron 目录下创建对应用户的计划任务脚本,查询一下系统中是否有异常的计划任务脚本程序:

ls /var/spool/cron
发现已经清除了我之前的定时任务
重新创建定时任务
rm -rf /var/spool/cron/*
2. 查看密钥认证文件
删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录:

rm -rf /root/.ssh/*
如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。

  1. 修复 SSH 配置项
    一般默认脚本中进行修改的 PermitRootLogin、RSAAuthentication、PubkeyAuthentication 为开启状态,需要修改的是密钥认证文件名,建议修改成默认值 AuthorizedKeysFile .ssh/authorized_keys 即可。修改完成后重启 sshd 服务,使配置生效即可。
  2. 及时更改服务费登录密码等
先锋队长
关注
专栏目录
Linux服务器xmrig病毒处理
weixin_44254869的博客
08-31 1979
第一次处理挖矿程序,针对以上问题,还是备份数据 格式化服务器吧,毕竟咱也不是专业的运维
阿里轻量服务器xmrig挖矿病毒排查处理
ZHUMUYI0的博客
12-04 1649
本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100。
根除矿机病毒xmrig
最新发布
qq_19582693的博客
07-28 774
根除xmrig矿机病毒
xmrig挖矿排查
PeterTu的博客
01-30 663
xmrig 挖矿
博客被挖矿程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 8173
文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器挖矿软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
记一次服务器挖矿的排查过程:xmrig挖矿病毒
矮矮的夏祭的专栏
07-11 9740
服务器挖矿,记录一下清除xmrig挖矿病毒的解决过程
【安全】查杀linux上c3pool挖矿病毒xmrig
飞的博客
03-05 1871
病毒来源安装脚本旷池提供的卸载脚本。
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 3535
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4033
linux服务器上彻底清除xmrig挖矿病毒
记一次挖矿病毒xmrig入侵后系统内存过高的处理
XIxixi丶曦的博客
09-08 1063
挖矿病毒xmrig github链接 xmrig处理 CSDN上很多,此处引用“xixiyuguang”的文章 入侵后排查 top 查看内存 和 cpu ->指向启动进程,kill掉 删除定时任务 查看新加用户,删除ssh后门 查看命令操作history 清除完毕后,重启服务仍发现内存过高,与正常不同。但是cpu已经正常,也没有Tcp连接外部服务器。 top命令发现内存数值不相等 free -m 查看内存详情也是占用过高 猜测是进来之后提权修改了系统配置文件。 看下大页内存有没预留: 可以用以
Linux查看公网IP的解决方案
热门推荐
weixin_43178406的博客
06-23 7万+
本文主要介绍了Linux查看公网IP的解决方案,希望能对使用Linux的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
linux——挖矿程序处理
sunfragrence的博客
12-12 3631
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。 无论kill -9还是直接把系统中nanoWatch所对应的进程文件删除,一样会定时重启。 使用crontab -e查看当前系统的定时任务信息,如下: 显示定时从链接中下载文件,于是在浏览器中访问该地址,下载的文件截图如下: 很明显,这是一个恶意脚本,定时检查...
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 6807
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 1951
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
记录一下遭遇xmrig挖矿病毒的经历
weixin_43659244的博客
06-05 372
三天前遭遇了一次挖矿病毒,在网上找各种帖子,各种方法各种试之后,这个进程依然我行我素.kill掉就生成,crontab里也没有定时任务.netstat -aulntp 查看进程 70hitwLdRv 的通信信息 (不要在乎这个pid和进程名,杀掉一次就变一次)就在快要放弃,准备与光同尘,和病毒共存的时候,突然想到一个不知道是不是办法的办法.rm -rf /var/tmp/.70hitwLdRv 删除文件。ls -l /proc/进程pid/exe 查看文件目录。
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 7246
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
记一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
2401_84140140的博客
04-09 917
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
linux入侵挖矿怎么解决
07-15
如果您的 Linux 系统被入侵并被用于挖矿,以下是一些解决方法: 1. 切断与恶意行为的连接:首先,您应该立即中断被入侵系统与外部恶意服务器的连接。您可以使用防火墙或网络设备来阻止与恶意服务器的通信。 2. 停止挖矿进程:查找并停止正在运行的挖矿进程。可以使用命令 `ps aux | grep miner` 或 `top` 来查找并终止挖矿相关的进程。如果您知道具体的挖矿进程名称,也可以直接使用 `kill` 命令来终止进程。 3. 清理恶意软件:查找并删除与挖矿相关的恶意软件。您可以使用命令 `find / -name <file_name>` 来查找文件名包含指定字符的文件,然后手动删除这些文件。 4. 更新和修补系统:确保您的 Linux 系统和相关软件都是最新版本,并应用安全补丁。这有助于修复已知的安全漏洞,减少入侵的风险。 5. 检查系统日志:检查系统日志文件,查找与入侵挖矿相关的异常行为。常见的日志文件包括 /var/log/auth.log、/var/log/syslog 等。分析这些日志可以帮助您了解入侵的来源和方式。 6. 强化安全措施:采取额外的安全措施来保护您的系统,如使用强密码、启用防火墙、限制远程访问、使用安全软件等。确保您的系统和应用程序都有合适的安全配置。 7. 进行系统扫描和恢复:可以使用安全软件或工具对系统进行全面扫描,以查找和清除潜在的恶意文件和后门。还可以恢复受影响的文件和配置,以确保系统正常运行。 请注意,上述措施可能需要一定的专业知识和技术能力。如果您对此不太熟悉,建议寻求专业人士的帮助,如网络安全专家或系统管理员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值