Centos7 处理挖矿病毒初探

最新推荐文章于 2024-07-22 17:33:57 发布
最新推荐文章于 2024-07-22 17:33:57 发布
阅读量7.1k 收藏 4
点赞数
分类专栏: linux 运维 文章标签: centos挖矿
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wolf1105/article/details/99644907
版权

1、首先查看top命令下占用cpu最高的是什么进程
#top
#lsof 进程名 如果是挖矿程序可以看到明显的异常
具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html
确定挖矿程序的路径以后,先kill掉进程,再删除文件
#kill -9 555
#rm -rf /tmp/wakuang.sh

2、清理定时任务
一般只进行上述的操作是很难清理干净,本文的情况是病毒已在定时任务里写好了自动执行脚本
会自动检查进程是否存活,不存在则自动下载
进入crontab目录
#cd /etc/cron.d/
#ll
total 508
-rw-r–r--. 1 root root 128 Aug 3 2017 0hourly
-rw-r–r-- 1 root root 508569 Aug 15 16:15 root
-rw------- 1 root root 235 Aug 3 2017 sysstat
#rm -rf root

清除所有定时任务(前提是之前没有加过任何定时任务)
#crontab -r

3、清理SSH公钥
#cd /root/.ssh/
#ll
总用量 8
-rw------- 1 root root 395 8月 14 10:54 authorized_keys
-rw-r–r-- 1 root root 348 12月 6 2018 known_hosts
#cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC/cjOtK8LAcIPBchQkU/qKSGbe7A9MTvrwqBc6trso6UMBpeTWY8loM1082h4HZ4daNJ1S8yB57PtOHSUwG//SD5ahYfOTOInQpU5p7mnczql9UPXO68VXukBpbmjueEwVtXXFnd/9kZzqBroS9zMakKh53URPoKus4d/V7Ct5ecPSo2WDRJDLbewE9ojb+v4R8C4xartjNLsyUXRwqgk1B6LK8JKIWUU55+LoaecFTBoBil+DP2Wxl2RhFaGCHItInwPgmtigYcOH/zMePw+aiXsYMbSzNtQswh3E0h7bpxq7hgilFTglfmrZybF45enkjwr9cfsWpkQ6NQ1nONA9 root@doclever
#rm -rf authorized_keys

以上是所做的操作,具体效果要观察一段时间,如有更好的操作欢迎探讨!

2019-08-15

wolf1105
关注
专栏目录
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 931
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
记一次centos挖矿病毒处理经过
a345203172的专栏
10-08 1667
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
挖矿病毒分析(centos7
ntgengyf的博客
07-25 887
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
挖矿病毒应急处置
最新发布
2301_77977773的博客
07-22 1751
windows server2016虚拟机(切记千万不要再物理机上运行挖矿病毒2024 年 7 月 22 日, 接到XX 局用户电话反馈局域网内有一些终端设备在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查出来原因,确认出影响范围,删除相关病毒文件并找出如如何感染的,梳理出时间链。从而避免下次出现相同的问题。
CentOS 7 挖矿病毒.rsyslogds与xmrig处理
G
06-16 2137
CentOS 7 挖矿病毒.rsyslogds与xmrig处理
Linux Contos7被植入挖矿病毒 Neflix
qq_44988088的博客
03-21 351
Linux Contos7被植入挖矿病毒 Neflix kaki的博客 问题的发生: 今天打开我的7牛云主机发现只cpu被占用100%,内存也接近80% 于是我问了7牛的客服,据7牛的工程师说是有可能被植入了挖矿病毒之类的东西。尽管我再三挽救:kill - 9 pid ,还有去清空定时器等。虽然当时可以,但过一会又自启了 最后: 于是我选择了重新装系统。。。。 总结:1.防火墙要看住 &nb...
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 3844
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本中进行修改的 PermitRootLogin、R.
阿里云Centos7挖矿程序根除分析
tangbin0505的博客
12-08 1580
1、top查看,找占CPU高的进程,看cpu占用率 2、使用命令ps -aux --sort=-pcpu|head -10查找,果然找到了这个程序带有Ssl 记下pid  3、进去6646目录     cd /proc/6646(木马pid) ) 4、用ll命令查看  [root@izwz9hcixm5361yy4uz40az 6642]# ll total 0 dr-xr-xr-x 2 ro...
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1427
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 940
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 7868
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
针对挖矿病毒的简易三板斧
MSB_WLAQ的博客
09-30 1338
一. 简介 本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产中遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。 二. 实现过程(研究内容) 以linux系统为例,对中毒主机进行断网隔离后,查找挖矿病毒的基本操作: 1寻找进程,使用命令:Top 2删除进程,使用命令:kill -i PID 3删除文件,使用命令:rm -rf 后续处理:溯源分析,修补漏洞,安全加固 三. 检测方式(防御建议) 挖矿病毒特征:最大的特征就是主机的cpu资源占用,可
Linux(centos7)常见安全、挖矿问题
weixin_41421314的博客
04-23 1193
centos安全配置、解决挖矿问题
阿里云服务器centos7挖矿病毒处理
08-05 3193
【阿里云】尊敬的1*********6:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1 处理过程: 1、查找异常进程,确定病毒进程,定位病毒脚本的执行用户 2、杀掉病毒进程,注意要检查清楚,病...
清除Linux centOS7挖矿病毒
李嘉图呀李嘉图的博客
05-18 797
由于最近准备面试,所以想要在买的阿里云服务器上部署下自己的项目,发布项目到服务器上之后项目一直崩溃,一看top,有一个exin的进程占了99% 未明确该应用如何被安装到了服务器上,可能是因为docker下载其他镜像文件时,病毒被一并安装。 先杀进程(kill该进程之后i一小时之后进程会重新打开,光杀进程不够) kill -9 26136 找到运行的进程,确定进程位置为 /bin/exin $ ps -a |grep 进程号 删除程序,直接删除不成功,必须先执行 chattr -ia
记录一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1043
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
挖矿病毒zz.sh——记一次linux(centos)成为矿机后的排查与修复过程
热门推荐
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来记录排查过程中遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
服务器(centos7)使用docker被病毒攻击,导致cpu100解决方案
weixin_43691942的博客
10-29 3145
#!/bin/bash openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 3650 -key ca-key.pem -sha256 -out ca.pem openssl genrsa -out server-key.pem 4096 openssl req -sha256 -new -key server-key.pem -out server.csr openssl x509 -req -days 3650
centos挖矿病毒
04-26
一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值