服务器被挖矿入侵,进程 command为ld-linux-x86-64占用cpu很高,解决经历

最新推荐文章于 2023-09-13 14:17:34 发布
最新推荐文章于 2023-09-13 14:17:34 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xfxfxfxfxf666/article/details/93308360
版权

问题发现:

测试服务器看到 ld-linux-x86-64的进程占用cpu极高,user 是 oracle的。
测试环境不会有这么高的oracle负载。区块链技术盛行,让人不得不怀疑被抓去做矿机了。

问题处理:

1. 初步查询

[root@ncserver ~]# find / -name ld-linux*
/usr/glibc-2.17/lib/ld-linux-x86-64.so.2
/usr/share/man/overrides/ru/man8/ld-linux.so.8.gz
/usr/share/man/overrides/ru/man8/ld-linux.8.gz
/usr/share/man/overrides/man8/ld-linux.so.8.gz
/usr/share/man/overrides/man8/ld-linux.8.gz
/usr/share/man/man8/ld-linux.so.8.gz
/usr/share/man/man8/ld-linux.8.gz
/dev/shm/.ssh/stak/ld-linux-x86-64.so.2
/root/glibc-2.17/build/elf/ld-linux-x86-64.so.2
/lib/ld-linux.so.2
/lib64/ld-linux-x86-64.so.2

通过简单分析,/dev/shm/.ssh/stak/ld-linux-x86-64.so.2应该是黑客模拟系统的文件名称,并且还放在.ssh这个隐藏文件夹下。黑客也有可能写其他跟系统类似的文件,也会放在其他用户比较熟悉的文件夹名称下,混淆视听。
2. 确认入侵
             当时删的及时,没注意保存截图。在.ssh文件夹下某个文件夹中有个 config.json文件。有句 “pool_address” : “101.99.84.65:80”,查看IP是马来西亚的,基本确定是被拉去做矿工了。

3.查找config.json并删除

[root@ncserver ~]# find / -name config.json
/dev/shm/.ssh/stak/config.json
[root@ncserver ~]# cd /dev/shm/
[root@ncserver shm]# rm -rf .ssh/

4.修改oracle的密码,删除挖矿进程,你也可以将22端口改成其它的端口更保险

[root@ncserver shm]# passwd oracle
[root@ncserver shm]# kill -9 20612

总结:生产环境再怎么注重安全都不为过,下面给出几条自己总结的建议

           1.在生产环境中建议修改ssh的默认远程端口。

            2.用户的密码尽量设置的复杂

            3.root用户尽量不要允许直接登陆操作系统

             4.启用防火墙

             

八戒取经路
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
进程ld-linux-x86-64是什么,解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题...
weixin_34781110的博客
04-29 4149
上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃。这次占用cpu的依然是一个ld-linux进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有100+个,比不上上次,还是用上次的脚本,将test的进程也kill掉。为防止恶意添加用户,将/etc/passwd 文件里的test用户删除后,给该文件添加了隐藏权限 i ,具体功能不知道的可以查下,此处...
ld-linux-x86-64挖矿病毒处理
sqlora的专栏
09-05 2283
[root@testdb ~]# top top - 18:52:24 up 127 days, 6:32, 2 users, load average: 17.26, 17.15, 17.10 Tasks: 808 total, 2 running, 806 sleeping, 0 stopped, 0 zombie Cpu(s): 7.9%us, 2.0%sy, 0.0%ni, 89.9%id, 0.1%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 6...
greenplum-cc-web-3.3.3-LINUX-x86_64.zip
06-06
greenplum-cc-web-3.3.3-LINUX-x86_64, greenplum command center for gp4
HarmonyOS(commandline-tools-linux-2.0.0.2.zip)
最新发布
11-08
Command Line Tools for HarmonyOS(commandline-tools-linux-2.0.0.2.zip)
qt-opensource-linux-x64-5.12.12.run
07-12
qt-opensource-linux-x64-5.12.12.run Qt(官方发音 [kju:t],音同 cute)是一个跨平台的 C++ 开发库,主要用来开发图形用户界面(Graphical User Interface,GUI)程序,当然也可以开发不带界面的命令行(Command User Interface,CUI)程序。 Qt 是纯 C++ 开发的,所以学好 C++ 非常有必要,对于不了解 C++ 的读者,我建议先阅读《C语言教程》,再阅读《C++教程》。C++ 是在C语言的基础上发展起来的,学完C语言就学了 C++ 的一半了。 Qt 还存在 Python、Ruby、Perl 等脚本语言的绑定, 也就是说可以使用脚本语言开发基于 Qt 的程序。开源社区就是这样,好东西就会被派生扩展,到处使用, 越来越壮大。 Qt 支持的操作系统有很多,例如通用操作系统 Windows、Linux、Unix,智能手机系统 Android、iOS、WinPhone, 嵌入式系统 QNX、VxWorks 等等。
mysql-shell-8.0.18-windows-x86-64bit.zip
01-12
mysql-shell-8.0.18-windows-x86-64bit.zip MySQL Shell is an advanced command-line client and code editor for MySQL. In addition to SQL, MySQL Shell also offers scripting capabilities for JavaScript and Python. For information about using MySQL Shell, see MySQL Shell 8.0 (part of MySQL 8.0). When MySQL Shell is connected to the MySQL Server through the X Protocol, the X DevAPI can be used to work with both relational and document data, see Using MySQL as a Document Store. MySQL Shell includes the AdminAPI that enables you to work with InnoDB cluster, see InnoDB Cluster.
ld-linux-x86-64.so.2挖矿木马,排查操作记录
Nikkis的博客
12-27 4102
排查并彻底清除ld-linux-x86-64.so.2挖矿木马
Linux上x86_64架构的动态链接器 ld-linux-x86-64.so.2
青衫客36的博客
09-13 3274
Linux操作系统上x86_64架构的动态链接器(也称为动态链接编辑器)。它负责加载和链接在运行时(即程序启动时或之后)被引用的动态库。现在,我们来深入了解其作用和重要性:动态链接器的作用:优势:如何工作:查找共享库:ldd工具:总之,是Linux上的动态链接器,用于加载和链接动态库,进而可以运行各种程序。 文件在 Linux 系统中起到一个重要的作用:它缓存动态链接器查找共享库时所需的路径信息。以下是关于这个文件的详细介绍:目的:如何生成:查看内容:为什么是重要的:更新:总之, 是一个为系统上的动态链接
what is /lib64/ld-linux-x86-64.so.2 in x86-64 linux
qq_38963393的博客
05-18 312
linux
Linux服务器被黑用作矿机的排查过程 ld-linux-x86-64 占用CPU
山水牧羊
08-22 3168
2019年8月22日 今天一台测试用服务器出现异常,最终确定是挖矿病毒,分享一下排查处理过程。 现象 1.ld-linux-x86-64进程占用CPU 90%,用户为oracle。 2.手工kill掉过一会还会再出现。 排查过程 1.切换到oracle用户,su - oracle 2.查看定时任务,crontab -e,发现有如下定时任务 /home/oracle/.cac...
gcc-linaro-7.5.0-2019.12-x86_64_aarch64-linux-gnu.tar.gz
03-29
gcc-linaro-7.5.0-2019.12-x86_64_aarch64-linux-gnu.tar.tar是由 Linaro 公司基于GCC推出的的ARM...gcc-linaro-7.5.0-2019.12-x86_64_aarch64-linux-gnu.tar.tar交叉编译器必须安装在64为主机上,才能编译目标代码。
服务器挖矿入侵进程 commandld-linux-x86-64占用cpu
maple的博客
11-12 3126
测试服务器看到 ld-linux-x86-64进程占用cpu,user 是 mysql 的。 测试环境不会有这么的mysql负载,并且内存占用基本为0。区块链技术盛行,让人不得不怀疑被抓去做矿机了。 初步排查 [exchange@localhost /]$ sudo find -name "ld-linux*" #找到ld-linux-x86-64名字的文件 [sudo] excha...
异常进程ld-linux-x86-64”引发的一次集群遭到黑客攻击问题的解决
qq_32254003的博客
01-24 7196
一、现象: 平台集群中的虚拟机,存在异常进程ld-linux-x86-64”,占用了大量cpu资源。其次,重启虚拟机之后,虚拟机的操作系统ROOT用户密码会被修改,初步判断原因为被黑客攻击。 二、探索: 安装杀毒软件clamav 1040  yum install clamd -y  1043  freshclam  1049  service clamd sta...
linux64 oracle11g缺失包,ORACLE11G在LINUX6下安装及报错 C [ld-linux-x86-64.so.2+0x14d70]的解决方法...
weixin_29603829的博客
04-02 502
-------------------------------3.权限,用户,组[root@instructor Share]# chmod -R 777 database/#递归授权#----------------chown 修改所属组root@instructor bin]# groupadd dba[root@instructor bin]# groupadd oinstall[root@...
linux 动态链接器相关
韦远科的专栏
04-01 859
linux下程序的链接方式分为两种:静态链接 和 动态链接。 静态链接就是在生成可执行文件的时候,把程序用到的各个库和目标文件链接到一块儿生成一个可执行文件。静态链接看起来很简单,但是有些不足。其中之一就对磁盘空间和内存空间的浪费。标准库中那些函数会被放到每个静态链接的可执行文件中,在运行的时候,这些重复的内容也会被不同的可执行文件加载到内存中去。同时,如果静态库有更新的话,所有可执行文
进程ld-linux-x86-64是什么,Linux运维知识之解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题...
weixin_42136477的博客
04-29 1598
本文主要向大家介绍了Linux运维知识之解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃。这次占用cpu的依然是一个ld-linux进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有100+个,...
linux目录误删文件 /lib64/ld-linux-x86-64.so.2: bad ELF interpreter: No such file or directory
soledad1030的专栏
11-07 4239
bash: /usr/bin/ls: /lib64/ld-linux-x86-64.so.2: bad ELF interpreter: No such file or directory
解决挖矿病毒占用cpu以及误删 ld-linux-x86-64.so.2 文件的问题
xpt211314的博客
07-10 1万+
上次已经被抓去挖矿了当了一次旷工了,本以为解决了,没想到竟然死灰复燃。这次占用cpu的依然是一个ld-linux进程,kill掉之后同样就查了关于test用户的进程,果然,test用户的进程有100+个,比不上上次,还是用上次的脚本,将test的进程也kill掉。为防止恶意添加用户,将/etc/passwd 文件里的test用户删除后,给该文件添加了隐藏权限 i ,具体功能不知道的可以查下,此处...
PostgreSQL源码结构
热门推荐
yidi
02-28 1万+
PostgreSQL的使用形态 PostgreSQL采用C/S(客户机/服务器)模式结构。应用层通过INET或者Unix Socket利用既定的协议与数据库服务器进行通信。 另外,还有一种‘Standalone Backend’使用的方式, 虽然通过这种方式也可以启动服务器,但是一般只在数据库的初始化(PostgreSQL的cluster的初始化,相当于其他数据库的instan
gcc-linaro-7.5.0-2019.12-x86_86_aarch64-linux-gnu-gcc:command not found
08-17
这个错误是由于找不到gcc-linaro-7.5.0-2019.12-x86_86_aarch64-linux-gnu-gcc命令引起的。可能存在几种原因造成这个问题。 首先,可能是因为该命令没有正确安装。请确认是否已经正确安装了gcc-linaro-7.5.0-2019.12-x86_86_aarch64-linux-gnu-gcc。如果尚未安装,请重新安装该软件,并确保安装过程中没有出错。 其次,可能是因为该命令的路径没有加入系统的环境变量中。请确认该命令的路径已经加入了系统的环境变量。可以通过将其路径添加到PATH环境变量中来解决这个问题,例如在~/.bashrc或~/.bash_profile中添加以下行: export PATH=$PATH:/path/to/gcc-linaro-7.5.0-2019.12-x86_86_aarch64-linux-gnu-gcc 如果安装路径不同,请将上述命令中的“/path/to/gcc-linaro-7.5.0-2019.12-x86_86_aarch64-linux-gnu-gcc”替换为实际的安装路径。 最后,可能是因为系统没有找到该命令的可执行文件。请检查该命令的可执行文件是否存在,并确保具有执行权限。可以使用ls命令检查命令的文件是否存在,并使用chmod命令为其添加执行权限。 总结来说,解决此问题的方法是确保正确安装了gcc-linaro-7.5.0-2019.12-x86_86_aarch64-linux-gnu-gcc,并将其路径加入系统的环境变量中,同时确保命令的可执行文件存在并具有执行权限。希望能帮到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值