服务器被植入挖矿病毒-xmrig

最新推荐文章于 2024-07-28 00:42:26 发布
最新推荐文章于 2024-07-28 00:42:26 发布
阅读量2k 收藏 7
点赞数
分类专栏: Linux 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53299145/article/details/133232423
版权

今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程
使用top命令查看服务器的cpu和内存占用情况

情况一 root用户启动的病毒

1、发现一个名为xmrig的进程cpu占用率达到100%,启动用户还是root,这时先不用kill进程,先找到它的安装目录。
使用命令
ps -ef | grep xmrig
2、移动到他的主目录之后,进行rm -rf 此病毒的目录
3、然后直接kill -9 程序pid
4、为了以防万一,再查一下systemd自启动服务
systemctl list-unit-files
查看是否有一个名为c3pool_miner.service的程序,
如果此程序的状态是自启动,直接进行disable
systemctl disable c3pool_miner.service
重新查看就可以发现此程序已经被标记为disable了

情况二 其他用户启动的病毒

使用ps -ef | grep xmrig查到,如果发现此病毒的启动用户不是自己创建的,
1、首先要top 查找xmrig的pid
2、ps -ef | grep xmrig 查到安装目录,先不要删目录,先干掉他创建的用户system
userdel -r 用户名(system)
3、结束病毒进程 kill -9 病毒pid
4、删除安装程序 rm -rf 程序
修改/etc/sudoers文件,注释掉system ALL=(ALL) ALL
修改/etc/shadow-影子文件,删掉system用户设置
上面两个文件都是制度文件,需要用wq!保存退出
systemctl list-unit-files 查看系统自启动服务,找到可以程序“c3pool_miner.service”
5、为了以防万一,再查一下systemd自启动服务
systemctl list-unit-files
查看是否有一个名为c3pool_miner.service的程序,
如果此程序的状态是自启动,直接进行disable
systemctl disable c3pool_miner.service
重新查看就可以发现此程序已经被标记为disable了

再分析一下为何会被植入病毒?

原因1:ssh的连接端口号默认使用22,且root的账号密码太简单,容易被识别爆破
解决方法:使用云服务器管理,将ssh的远程连接端口修改为10000以上的乱序端口,也可以加强自己的密码强度,防止被爆破。
原因2:防火墙没使用自启模式
systemctl start firewalld

修勾勾L
关注
专栏目录
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 3759
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
根除矿机病毒xmrig
最新发布
qq_19582693的博客
07-28 937
根除xmrig矿机病毒
记一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
2401_84140140的博客
04-09 960
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
记一次服务器挖矿的排查过程:xmrig挖矿病毒
矮矮的夏祭的专栏
07-11 1万+
服务器挖矿,记录一下清除xmrig挖矿病毒的解决过程
xmrig挖矿排查
PeterTu的博客
01-30 668
xmrig 挖矿
记录一下遭遇xmrig挖矿病毒的经历
weixin_43659244的博客
06-05 423
三天前遭遇了一次挖矿病毒,在网上找各种帖子,各种方法各种试之后,这个进程依然我行我素.kill掉就生成,crontab里也没有定时任务.netstat -aulntp 查看进程 70hitwLdRv 的通信信息 (不要在乎这个pid和进程名,杀掉一次就变一次)就在快要放弃,准备与光同尘,和病毒共存的时候,突然想到一个不知道是不是办法的办法.rm -rf /var/tmp/.70hitwLdRv 删除文件。ls -l /proc/进程pid/exe 查看文件目录。
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 7567
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
服务器被疑似挖矿程序植入107.174.47.156,发现以及解决过程(建议所有使用sonatype/nexus3镜像的用户清查一下)...
weixin_30824479的博客
04-28 322
  此次服务器植入挖矿程序发现起来较为巧合,首先是上周三开始,我通过sonatype/nexus3搭建的仓库间歇性崩溃,但是每次重新start一下也能直接使用所以没有彻底清查,去docker logs里查看发现是执行bash命令和powershell命令出错,没有想明白是什么原因。   后来恰好ES更新7.0版本了,我一看“呦呵,7.0里面连type都没有了?”赶紧跟个风,于是把我运行很长时间...
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4084
在linux服务器上彻底清除xmrig挖矿病毒
博客被挖矿程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 8203
文章记录了一次由于Docker配置的漏洞导致的挖矿程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器挖矿软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
宝塔攻防------木马挖矿xmrig问题处理
jack_Day666的博客
05-13 1134
点他名字xmrig进详情 查找是否有异常的ip端口号 在宝塔首页,查看对应版本是否过低 进入云服务器,查看是否有异常登录和木马文件 这里隔离后,在宝塔里 起始都输入刚刚的ip 然后添加 查看服务器异常登录,因为加了黑名单,可以不管了 最后,查看宝塔主页面,cpu是否正常,如果正常,可以不重启服务器,建议重启宝塔。 ...
忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应
m0_61431042的博客
06-17 983
随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高。下面介绍一下linux系统和window系统对挖矿木马的应急响应流程。 ...
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 3655
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
程序员小R的博客
04-08 450
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序? 下面我们分析一下,是如何被攻击的,先使用git找到我的服务器地址,首次登陆在7点57分,小R还没起床,肯定不是自己登录的,当时小R还没有注意,但是过一会阿里云又提醒被植入木马程序,才引起小R的注意 然后使用暴力破解,进行破解,这里小R的密码用的还是比较复杂的(字母大小写数字标点符号都用上了),但黑客仅用了200多次就破解完成 密码破解成功就可以直接登录到服务器git植入木马挖矿程序 我看可以看到黑客破解一台服务器仅用不到几分钟的时间 现在时时刻刻
xmrig挖矿病毒解决
热门推荐
yuguang的博客
11-20 1万+
1、问题排查显示 1.1服务器中情况 1.2后台查看情况 2、查看进程 [root@ecs-44a1 cron]# ll /proc/8236/exe lrwxrwxrwx 1 root root 0 Nov 20 10:52 /proc/8236/exe -> /etc/c3pool/xmrig [root@ecs-44a1 cron]# 3、查看进程文件 [root@ecs-44a1 cron]# ll /pr...
服务器集体中毒事件 xmrig trace 挖矿病毒
枫小秋 的博客
01-05 6862
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于“挖矿”,随即我们便进行了病毒的清理,但病毒的来源通过我们原有实施的监控和安全检测中并未能发现。事前我们在服务器的远程登录上限制了只允许VPN+堡垒机登录,对服务器的各方面性能、所有人员的风险操作以及可能通过web渗透的异常登录和执行行为均有监控和告警,但这次在服务器监控和安全监控中我们却未找到任何端倪。 发生这次事件...
记一次解决阿里云服务器植入挖矿病毒
hghjgkjn的博客
06-23 1681
解决阿里云服务器植入挖矿病毒
恶意程序-分析SYNful Knock 思科植入
05-20
SYNful Knock 是一种恶意软件,它被植入思科网络设备中,在未被授权的情况下修改其固件,以便攻击者可以在设备上执行恶意代码并获取敏感数据。以下是对 SYNful Knock 的分析: 1. 攻击方式 攻击者利用设备的漏洞或弱密码登录设备,并上传恶意固件。恶意固件被修改为启动时执行恶意代码,并在设备上安装后门程序,以便攻击者可以远程控制设备并获取敏感数据。 2. 恶意代码行为 SYNful Knock 恶意代码包括以下行为: - 启动时执行:恶意固件中修改了设备的启动脚本,使其在启动时执行恶意代码。 - 启动配置文件修改:修改设备的启动配置文件,使其在启动时加载恶意固件。 - 后门程序安装:安装后门程序,以便攻击者可以远程控制设备并获取敏感数据。 - 数据泄露:恶意程序会监视设备上的网络流量,并将敏感数据发送到攻击者的远程服务器。 3. 防范措施 为了防止 SYNful Knock 攻击,建议采取以下措施: - 定期更新设备的固件和操作系统,以修补已知的漏洞。 - 使用强密码及多因素身份验证,以防止攻击者利用弱密码登录设备。 - 监控设备的网络流量和日志,以检测恶意行为。 - 限制设备的物理访问,以防止未经授权的人员修改设备的固件。 - 定期对设备进行漏洞扫描和安全评估,以检测并修复潜在的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值