菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马)

最新推荐文章于 2024-04-25 14:53:48 发布
最新推荐文章于 2024-04-25 14:53:48 发布
阅读量2k 收藏 2
点赞数 1
文章标签: linux 服务器 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48713918/article/details/129882291
版权

2023.13.39分收到腾讯发来的提醒
在这里插入图片描述
在这里插入图片描述
查了一下后台,是这个样子
在这里插入图片描述
显示的是cpu与内存占用极高,不停有写入操作

大写的懵逼,第一反应是先关机
但是没屁用,cpu与内存占用居高不下
我处理的主要过程如下

过程

kill进程没用,还会重新启动。查了半天资料,说是让我看看

是不是有自动启动的定时任务

启用命令

crontab -l

卧槽,真的有

大概是我用的redis安装包有问题

赶快启用删除全部定时任务命令

crontab -r

再次查询,就查不到这个定时任务了

但是占用率还是居高不下,kill不掉

用top命令查看进程状况

注意:这里我用过ps -aux | sort -k4nr | head -10
和ps -aux | sort -k3nr | head -n
查询内存占用最高的几个进程,返回的内容一片岁月静好!!!
说明程序被隐藏了,用这个命令根本查不出

top

在这里插入图片描述
就是这个流氓程序,一直占着,
用kill命令,后面的2988是它的pid

kill -9 2988

没有用,kill会让他消失几秒钟,然后很快就会再次出现

说明还是有问题
我担心是因为有人通过端口进入,我就

在防火墙暂时关闭了所有端口的访问

在这里插入图片描述

继续查资料,发现有人说需要

查看相应服务是否有ia等保护的权限

我就查了一下


[root@xgms_VM-8-13-centos share]# lsattr xmrigMiner   
-------------e-- xmrigMiner

很服气,真的有,然后说让我清除这个权限,执行

[root@xgms_VM-8-13-centos share]# chattr -ia xmrigMiner
-bash: chattr: command not found
[root@xgms_VM-8-13-centos share]# chattr -ia xmrigMiner
-bash: chattr: command not found

结果也看到了,显示没有这个命令,然后我就执行了rm -rf删除命令,没想到居然成功了
我再去kill相应的程序,程序也不会重新启动

注意:这里我发现有两个程序xmrigMiner和xmrigDaemon ,我就把他俩一起宰了

[root@xgms_VM-8-13-centos share]# rm -rf xmrigMiner
[root@xgms_VM-8-13-centos share]# kill -9 5213
[root@xgms_VM-8-13-centos share]# rm -rf xmrigDaemon
[root@xgms_VM-8-13-centos share]# kill -9 6296
[root@xgms_VM-8-13-centos share]# kill -9 13
[root@xgms_VM-8-13-centos share]# lsattr xmrigMiner
lsattr: No such file or directory while trying to stat xmrigMiner
[root@xgms_VM-8-13-centos share]#

清除干净相应的文件

后面我就进入到具体的之前腾讯有提示过的文件夹里删除了相应的文件
分别是这两个栽种

/usr/share/xmrigMiner
/usr/share/scripts/enable_1gb_pages.sh

直接用rm制裁

再去查询这个保护权限,也查不到了

这个问题就基本解决
在这里插入图片描述

但是内存使用量还是很高,不知道为什么,我还在查怎么处理的时候,发现它自己降下来了
在这里插入图片描述
截止我写完这篇文章,它暂时也再没出现问题

警示

起因应该是redis的安装包里有木马

然后我将redis设置为所有ip均可访问以后,大概一个多小时,就出现了这种情况

我只能说

!!!慎重开启全ip访问

!!!慎重使用来源不明的安装包

夏高木杉
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
阿里服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
在腾讯的第一堂产品经理课——与鹰的距离
03-03
做产品即是做服务,本文以ATM设计为例,详细地讲述了级产品经理在面对服务时所思考的角度和描述。在IT界,许多人会称自己为,而每只都会有鹰的梦想。本文转载梁宁的微信公众号,作者认为,做产品即是做...
腾讯服务器被恶意挖矿处理建议----检测到存在待处理的恶意文件:/usr/share/xmrigMiner,威胁等级:严重,您的服务器疑似被黑客入侵,建议您及时确认,避免造成严重损失。
weixin_58622844的博客
08-09 2497
事情是这样的,前两天搭建微服务项目的时候需要用到服务器,第一天刚部署上项目,紧接着第二天就被黑客扫了,既没办法访问,也没办法远程连接。
清理linux上c3pool挖矿病毒xmrig
最新发布
sulei627719296的博客
04-25 435
因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除。检查是否有相关的定时任务,如果有定时任务则删除掉。找到所有相关的服务,全部删除。
网络安全-挖矿病毒XMrig miner
L120305q的博客
04-05 732
挖矿病毒XMrig miner
无意间发现我的一台服用器中了矿机xmrig的毒,续!!
kevin的博客
06-13 1万+
接上 无意间发现我的一台服用器中了矿机xmrig的毒,哎!! 上次没根除接着来! 看一下是不是设置了定时任务:这里要注意一下,我一开始 crontab的时候没有指定用户(我是用ubuntu用户登陆的),没有看到这个任务,以为没有问题,不指定用户列出的是当前用户的任务,编辑也是同样如此. 果然,去下载了一脚本执行! 打开看看 就是你了! 这段脚本也比较简单好理解大概意思:清清本地...
初步解决挖矿病毒xmrig cpu miner
热门推荐
qq_42906657的博客
09-16 3万+
初步解决挖矿病毒xmrig cpu miner 本人初学者,前段时间写了个爬虫,暴露了ip,服务器受到攻击,被植入了木马,后来就发现中了这个挖矿病毒。之前曾经解决过,是把任务管理器中杂七杂八的进程都结束掉:将不认识的后缀为32位的进程都结束掉。 但是我服务器重启后发现还是有这个问题,说明注册表没清干净。 今天查了下网上的解决方案,好像都是用工具,没有比较简单的方法。下面是我今天初步清除的...
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 1530
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
阿里巴巴客服咨询工单培训视频教程之咨询工单处理流程
03-07
1、该视频教程为阿里巴巴客服咨询工单培训视频教程 2、资源为.mp4格式的视频教程 3、视频教程内容:咨询工单处理流程.mp4 4、大小:649MB 5、长度:01:34:33 6、适用人群:阿里巴巴客服意向人员
阿里巴巴客服咨询工单培训视频教程之拦截单工单类型处理
03-10
1、该视频教程为阿里巴巴客服咨询工单培训视频教程 2、资源为.mp4格式的视频教程 3、视频教程内容:拦截单工单类型处理 .mp4 4、大小:135MB 5、长度:01:13:52 6、适用人群:阿里巴巴客服意向人员
Linux命令:ssh命令(远程登录)
01-20
需要注意的是,Linux一般自带的是OpenSSH: 下面的例子即表明该系统正在使用OpenSSH: $ ssh -V OpenSSH_3.9p1, OpenSSL 0.9.7a Feb 19 2003 下面的例子表明该系统正在使用SSH2: $ ssh -V ssh: SSH Secure Shell ...
linux服务自动启动
08-16
linux服务自动启动
《应急响应》记一次“XMR门罗币挖矿木马病毒”处置
1
11-03 1953
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
xmrig入侵linux服务器
aaqqwwssr的博客
12-05 248
xmring
Xmrig挖矿入侵服务器排查
BothSavage
03-19 574
挖矿程序入侵
服务器入侵了,溯源全过程(实战)
diaobusi的博客
06-22 1860
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
Linux】排查进程、挖矿病毒查找
qq_39165617的博客
02-28 5811
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
记录一次centos 6.5被xmrig 攻击的处理过程
zhaofuqiangmycomm的博客
01-31 2555
前言 本次记录仅供小白学习记录,大神略过 上月某一天客户反应系统登录不上 一 top命令查看cpu使用情况 1.1用top命令看cpu 内存占用,果不其然发现了一个异常的xmrig cpu占用74.9%, 难怪系统登录不上 这时不要急着杀死进程,要根据pid找到相关的进程信息 cd /proc/pid 再查看这个文件夹下的内容 1.2找到之后把相关病毒进程和 病毒文件全部删除 二 查看定时任务是否被篡改 crontab -e 果然有病毒的定时启动任务。全部...
linux 服务器份额
07-15
很抱歉,我无法提供准确的数据,因为我无法获取实时的服务器市场份额信息。 但是,根据一些报告和研究,Linux 服务器在全球范围内占据了相当大的份额。这是因为Linux操作系统具有高度的可靠性、安全性和灵活性,适用于各种服务器应用场景。此外,许多大型互联网公司和数据中心也广泛使用Linux服务器。总之,Linux服务器领域具有很高的普及度和市场份额。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值