记一次centos云主机遇到挖矿病毒

已于 2024-06-03 10:13:09 修改
阅读量34 收藏
点赞数
文章标签: centos linux 运维 安全
于 2023-08-15 14:03:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47461688/article/details/132282654
版权

今天出奇的收到云上的负载告警,然后登陆服务器一看,发现有一个莫名的进程在执行

在这里插入图片描述

随后也没想太多,直接kill掉进程,结果进程还真被杀掉了。果然没这么简单,不出一会,cpu又跑满了。重新登陆机器,看了一下进程发现刚刚杀掉的进程又出现了。

然后第一反应是:

  • 检查本机有没有定时任务
  • 会不会还有其他进程来检测挖矿进程是否在执行

在这里插入图片描述

果然看到了一个奇怪的定时任务,随后正想把这个定时任务删掉,md发现root用户下居然也改不了。

在这里插入图片描述

突然间有点不知道如何下手,完了难道要重装系统?但是一堆业务还在上面,虽然之前有打镜像,重新部署恢复也是一个问题。
冷静下来以后,看了刚刚定时任务里的那个脚本,发现原来是用chattr命令把文件锁住了

在这里插入图片描述
发现chattr命令也没有权限,看了一下原来是没有执行权限。
在这里插入图片描述
紧接着看了一下cron目录和cron/root的文件属性,发现目录和文件带有i和a

  • +a表示只能给文件追加内容,无法删除
  • +i 表示加锁文件(文件不能被删除、改名、设定链接关系,同时不能写入或追加内容)
#解锁文件,再重新编辑定时任务,(如果解锁了还删不掉,记得查看父级目录的文件属性)
chattr -ia /var/spool/cron/
chattr -ia /var/spool/cron/root

在这里插入图片描述

把定时任务删掉,也重新把进程给删掉了,本来以为这波稳了,但是!!过了一会挖矿进程又有了,定时任务也被还原了!
只能重新再去读了之前定时任务的脚本。不出意外发现了这一段脚本的外网地址。

在这里插入图片描述

  • 登录云控制台安全组禁止云主机访问上面的地址

重新再将进程杀掉,木马文件删除。观察了几个小时,发现已经没有类似进程出现了

随后按照木马脚本里面的命令一一将服务器文件还原,到现在为止暂时安全

小小的小胖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2775
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1016
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
如何在centos中和windows server中找到挖矿木马和消灭挖矿木马
最新发布
weixin_45631123的博客
06-13 836
解决挖矿木马
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 921
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
Centos qW3xT.2 挖矿病毒
BraveHeart
09-12 595
亲测,管用! https://blog.csdn.net/yitian_66/article/details/81304681
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1696
没成功,只是录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1178
CentOS处理挖矿病毒 - kthreaddk
Linuxcentos7)常见安全挖矿问题
weixin_41421314的博客
04-23 1141
centos安全配置、解决挖矿问题
排查腾讯云服务器被挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6483
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
挖矿病毒 kdevtmpfsi 处理
owenzhang的博客
11-30 840
我参与11月更文挑战的第21天,活动详情查看:2021最后一次更文挑战 症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。 排查方法 首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命...
如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招
middleware2018的博客
02-27 1167
漏洞概述 近日,互联网出现watchdogs挖矿病毒,攻击者可以利用Redis未授权访问漏洞入侵服务器,通过内外网扫描感染更多机器。被感染的主机出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器,严重影响业务正常运行甚至导致崩溃。 在此,小哥建议您及时开展Redis业务自查并进行升级修复,避免业务和经济损失。   漏洞影响 1、数据泄露。Redis...
阿里云服务器使用教程:CentOS 7服务器基本安全策略设置详细教程
蓝多多的小仓库
03-28 659
挖矿病毒的最大特点就是挖矿脚本执行后会自我删除,然后通过另一个脚本和定时任务去下载挖矿脚本,因此挖矿脚本并不存在与服务器。(b)使用su root切换到root用户,并同时使用/sbin/service来操作,如/sbin/service sshd restart.su或者su root 只是相当于以root用户身份来操作,实际的系统环境并没有切换到root用户的环境,而只是当前登录用户。将被注释掉的Port 22前的注释符号“#”去掉,并将22改为您想要设置的端口,:wq保存退出。
Linux——kdevtmpfsi(挖矿)进程解决方法与解决过程
Hern(宋兆恒)
03-23 9906
问题 CPU堵塞(100%)。我这里的主进程是YDService,你的可能和我的不一致。 原因 服务器密码被别人知道 防火墙设置问题 …… 解决方法 1、查看进程,录下占用CPU的进程PID(包括挖矿主进程PID)命令: top 或 ps aux | less 2、查看异常链接(有助于发现问题缘由),命令: netstat -natp 或 netstat -n...
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 866
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
挖矿病毒zz.sh——一次linux(centos)成为矿机后的排查与修复过程
热门推荐
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来录排查过程中遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1135
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 1609
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序。
一次CentOS挖矿的处理
yangjing19910801的博客
03-23 1243
一次CentOS挖矿的处理 一天,突然发现有个进程占用CPU很厉害,使用的finalshell查看进程,很容日找到这个进程信息如下 ./trace --donate-level 1 --keepalive --no-color --cpu-priority 5 -o xmr.f2pool.com:13531 -u 82etS8QzVhqdiL6LMbb85BdEC3KgJeRGT3X1F3DQBnJa2tzgBJ54bn4aNDjuWDtpygBsRqcfGRK4gbbw3xUy3oJv7TwpUG4.
解决centos被minerd挖矿程序入侵方法
weixin_30781775的博客
10-25 430
一次服务器被入侵的解决方法 一:问题说明1、我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况(top命令),看到一个名为minerd的进程占用了99.5%的CPU2、minerd是个挖矿程序,什么是“挖矿”,特此百度了一下, 所谓“挖矿”实质上是用计算机解决一项复杂的数学问题,来保证比特币网络分布式账系统的一致性。比特币网络会...
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值