# 记一次自己云主机挖矿病毒排查过程

最新推荐文章于 2024-06-19 20:58:40 发布
最新推荐文章于 2024-06-19 20:58:40 发布
阅读量4.4k 收藏
点赞数
文章标签: linux 运维 安全 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whj_study/article/details/123113874
版权

这台云主机过年回家有段时间没用了。然后上去使用的时候很卡,top看了一下

这挖矿病毒把我cpu被吃光了,,,

执行命令`netstat -antlp | grep kswapd0`

 查询该进程的网络信息

连接了一个荷兰的ip

找一下哪里存在这个文件`find / -name kswapd0`

或者看一下起这个进程的文件在哪里也能找到

`ls -l  /proc/1559/exe`

进到这个目录看一下,病毒程序的文件目录,其中的kswapd0就是主体,另外还包含了创建计划任务,开始/结束等sh脚本。

继续查一下计划任务`cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}`

查了一下发现是postgres用户密码没改~

找到原因了 后续就好干了

先杀掉进程

kill -9 1559

删除文件夹

rm -rf .configrc/

删除计划任务

定时任务的目录在 /var/spool/cron 下面

或者crontab -l -u postgres也可以列出来

删除即可

最后修改postgres用户密码!!!

jun91e丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次挖矿病毒的清除,欢迎来讨论
CSDNyingying的博客
01-26 1815
一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程。第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这个)。。。废话不多说开始进入正题--------处理kswapd0挖矿程序 一、发现病毒 服务器负载异常的高 1.使用top命令查看实时cpu占用情况,发现kswapd0进程是用root用户起的 2.查看应用连接发现有外网IP连接 3.查询IP归属地,发现是荷兰的IP,后来又看到一个...
一次docker错误的耗时排查过程
01-09
客户是深信服的订制系统,基于 centos 改的,排查半天发现居然是文件损坏,而不是 docker 的问题。 环境信息 docker信息: $ docker info Containers: 0 Running: 0 Paused: 0 Stopped: 0 Images: 2 Server ...
应急响应-挖矿病毒(kswapd0)
weixin_45690589的博客
10-10 1162
应急响应-挖矿病毒(kswapd0)
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1410
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linux挖矿病毒nanominer伪装成python占用服务器GPU!本文带你分析并杀毒!
weixin_43693967的博客
05-18 2972
linux中了伪装成python的挖矿病毒,可以看到root用户将GPU的核心跑满了每个占用都是100%,显存吃了6G多。本文详细录了病毒的原理和查杀
[实战]Zabbix 5.0.0升级5.0.1的优秀操作
hority的专栏
07-10 1417
Zabbix与5.12号发布了5.0.0LTS版本以来,又在5.25号紧急更新了5.0.1版本,都怪我有一颗对新鲜事物充满好奇的心,发布当天就装了一套5.0.0LTS,导致我看到5.0.1的时候,激动不已,但又无奈,于是乎,写一篇完整的升级的步骤,也给大家带来点思路
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3729
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
一次OOM问题排查过程实战
08-26
一、OOM 问题排查过程概述 在 Java 应用程序中,OutOfMemoryError 是一种常见的异常,它可能是由于堆空间不足、永久代空间不足或是无法分配对象所引发的。在本文中,我们将通过一个实战录,介绍如何排查 OOM 问题...
一次 Java 内存泄漏的排查解决过程详解
08-25
本文将详细介绍一次 Java 内存泄漏的排查解决过程,通过示例代码和实际案例,帮助读者更好地理解和排查 Java 内存泄漏。 一、问题描述 在本次值班中,我们的探测服务突然出现了大量的超时报警邮件,多数执行栈都在...
Linux系统故障排查手册【云主机ECS版】.pdf
05-07
Linux系统故障排查手册【云主机ECS版】.pdf
一次django内存异常排查及解决方法
01-19
起因 Django 作为 Python著名的Web框架,相信...但是事情似乎并没有我想的那么简单,自己尝试用之前的的方法tracemalloc库进行问题的排查,但是问题来了实际的项目中有快一百多个接口,怎么排查?难道一个一个接口进
Zabbix监控之监控项到达阈值报警解决方案汇总
热门推荐
liuxiangyang_的博客
09-06 1万+
我们的服务器在添加模板之后,会有很多的监控项。当监控项到达一定的阈值之后就会触发报警,这里我们来总结一下当服务器出现问题触发报警的解决方法。 CPU CPU的性能对于计算机整体的性能起着主导作用。对于早期对计算机甚至直呼其CPU的型号,如 386 、486、奔三,奔四。 那么我们CPU性能最直接的评估就是查看其CPU工作频率,就是CPU的时钟频率,单位为是Hz。随着CPU的发展,主频由MHz现...
Linux中处置挖矿病毒样本演示
qq_39330735的博客
03-29 1389
Linux处理挖矿病毒
应急响应实战笔——Linux实战篇:③ 挖矿病毒
君逍遥o
04-10 919
随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象。
kswapd0 是系统的虚拟内存管理程序,也可能是伪装的挖矿病毒
255.255.255.0
03-29 2386
1.kswapd0 是系统的虚拟内存管理程序,如果物理内存不够用,系统就会唤醒 kswapd0 进程,由 kswapd0 分配磁盘交换空间作缓存,因而占用大量的 CPU 资源。 2.也有挖矿病毒伪装成相同名称,挖矿注意排查 ......
服务器被植入木马--录解决kswapd0 CPU占用率高的问题
mInfoDavid的专栏
05-11 867
自购百度云服务器一台,做网站测试用,配置不高,某天突然发现网站访问出问题了,登录使用top命令查看,发现CPU几乎被耗尽,如下: 其中kswapd0的进程很可疑,进一步查看了网络情况,发现其对外访问了45开头的一个IP,为荷兰的IP,经过网络简单搜索,可以肯定是中了挖矿木马, 接着查看该进程对应的目录情况, 清除过程: 1.先杀死进程:kill -9 3307 2. 清除crontab 清除以上几个自动启动任务 3. 清除目录 # rm .X25-u...
Linux kswapd0进程CPU占用过高,病毒清理
zhangjunli的博客
08-21 8522
<div id="bgchange" style="width: 660px;"> <div class="fontsize_bgcolor_controler"> <div class="a_bgcolor"> <img src="http://pubimage.360doc.com/NewArticle/bgcolor.jpg"> <div class="a_colorlist"> <span class="a_color1" oncli
linux挖矿病毒分析
weixin_42915431的博客
12-21 2600
最近我的测试虚拟机中了挖矿病毒,有个奇怪的名为VP0eryom的进程,cpu占用率特别高,于是自己就折腾着分析,试着找出原因,下面是简单分析过程
【转】服务器挖矿病毒排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值