记一次阿里云服务器中挖矿病毒处理

最新推荐文章于 2024-09-27 14:51:01 发布
最新推荐文章于 2024-09-27 14:51:01 发布
阅读量7.6k 收藏 7
点赞数
分类专栏: linux病毒查杀 文章标签: 挖矿病毒 高CPU
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xw_0714/article/details/100726946
版权

 

1.收到阿里云发来的预警短信

【阿里云】尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理
。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1

2.登陆阿里云服务器,发现服务器十分的卡,t命令查看结果如下

[root@kk ~]# top

3.使用命令杀死进程,最后再杀死,还需要使用这个进程查找病毒文件

[root@kk ~]# kill - 9 20202

杀死进程,一段时间后又重新出现另外一个进程,其中PID和COMMAND不一致,CPU使用还是99.9%,判定存在守护进程或定时任务

4.使用命令

[root@kk ~]# crontab -l

查看是否有奇怪的定时任务

[root@kk ~]# crontab -l
0 * * * * ~/.system-init

注意!此任务非我 创建,再看后面的脚本.system-init 好像是系统的某个任务,实际为病毒伪装

使用下面命令删除

[root@kk ~]# crontab -r

5.使用命令

lsof -p 20202

查看进程的相关信息,执行路径等等,楼主杀死病毒成功后写的博客,没有相应的截图了,存在相关文件的都进行删除,如下

[root@kk ~]# cd ~
# 使用Tab键看/root 目录下的隐藏文件
[root@kk ~]# cd .
./                 .bash_history      .bash_profile      .cache/            .mysql_history     .pip/              .pydistutils.cfg   .tcshrc            
../                .bash_logout       .bashrc            .cshrc             .oracle_jre_usage/ .pki/              .ssh/              .system-init

 此处存在.system-init文件,问病毒文件,需要删除

[root@kk ~]# rm -rf .system-init
[root@kk tmp]# cd /tmp
# 使用Tab键
[root@kk tmp]# cd .
./          ../         .font-unix/ .ICE-unix/  .Test-unix/ .X11-unix/  .XImunix    .XIMunix    .XIM-unix/  
[root@kk tmp]# cd .X11-unix/
[root@kk .X11-unix]# ll
# 这个地方存在 0 1 2 三个文件,均要删除
total 0
[root@kk .X11-unix]#

6.至此,整个病毒查杀已经完成

总结:

1.病毒攻击的服务器存在以下特征:

  1. linux登陆弱密码
  2. 安装的服务存在弱密码,如:redis,mysql等
  3. 服务在公网中暴露,内部使用的应用端口应添加加IP白名单,或仅内网可使用

2.病毒感染的特点

  1. 某个进程CPU高达99%
  2. 出现奇怪的定时调度任务
  3. /root, /tmp 目录下会出现一些隐藏且伪装成系统文件的病毒文件
  4. 病毒一般都会有守护进程,可以查询linux服务器上的进程,杀死哪些看着很奇怪的进程(慎重),或者对比正常的服务器进程进行查杀
kk.xie
关注
专栏目录
阿里云服务器挖矿程序应该如何清除
m0_65455195的博客
12-17 5750
阿里云服务器挖矿程序如何处理?云安全心安全告警短信提醒云服务器挖矿程序怎么处理?护云盾来详细说下阿里云服务器挖矿程序的解决方法,一种是使用云安全心自动处理,另一种方式是自行手动清除。 阿里云服务器挖矿程序解决方法 如果你的阿里云服务器挖矿程序,你有两种处理方式,一种是使用云安全心自动清理,另一种是手动清除: 云安全处理挖矿程序 1、登录到云安全心控制台 2、左侧栏,选择“威胁检测”--“安全告警处理” 在安全告警处理列表,找到挖矿程序,然后点“处理” 云安全心安
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1406
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
云服务器病毒处理
WU2629409421perfect的博客
03-25 708
个人购买的小型服务器有时候会经常出现挖矿程序,导致服务器卡顿,这时候,除了升级服务器外,一般可以自己去清除病毒文件、挖矿程序! 说说我的经验吧: 1、服务器上运行 top 命令,查看占用CPU的进程以及对应的PID(后续需要用) 2、输入命令 ls -l /proc/$PID/exe 获取PID对应的文件路径,然后找到并删除此文件,其,$PID 要写成PID对应的数字 3、输入命令 kill...
挖矿病毒的特点
weixin_47104052的博客
05-04 1964
挖矿病毒的特点: 1、文件/定时任务删除失败-------------------文件只读属性保护 2、文件/定时任务删完又出现-----------------系统文件替换/下载进程残留 3、病毒进程刚刚删完又被拉起---------------恶意进程守护 4、主机严重卡顿但找不到挖矿进程-----------系统命令劫持 5、主机杀干净后一段时间又出现病毒---------ssh&漏洞再次入侵 当服务器挖矿病毒后,很有可能系统命令被黑客替换,导致执行某系统命令时,有可能执行被黑客注入到服务器
阿里云服务器挖矿木马清除
最新发布
Aili的博客
09-27 380
c3pool_miner.service 看起来非常可疑,因为它的描述是 “Monero miner service”。这很可能与您之前提到的 xmrig 挖矿程序有关。
阿里云服务器挖矿病毒处理方法
X1992W的博客
03-17 494
先备份一下之前的快照,保留备用 通过TOP命令查看进程 发现PID:31961的.libs进程异常,查他的进程详细信息 [root@iZwz9c4z4opmg9ze4ohbmkZ ~]# netstat -lntupa |grep .lib tcp 0 0 172.18.4.104:51562 107.172.214.23:80 ESTABLISHED 31961/.libs 发现异常IP:107.172.214.23,在阿里云安全组添加一条阻止录 杀掉
云服务器挖矿病毒与防范
每个人都是独一无二的,把握好自己的节奏,跟着自己的心走。
06-03 756
我自己的一台腾讯云服务器还有工作室指导老师的电信云服务器都挖矿病毒,其特征都是出现CPU拉满的情况。这是我自己的一台1核2G的服务器,带宽1mbps,挖矿病毒后,首先就是出现xshell连接不上,监控显示CPU拉满,此时我就断定是挖矿病毒导致CPU一直在负荷工作。机子是8核16GB,挖矿病毒后,我的xshell依旧能够连上,起初我并没有察觉到挖矿病毒,可能机子太好原因?我docker容器都开了好几个我都没察觉。发现经过:起初我想本地写一个shell脚本,然后添加一个定时任务来定期进行my
阿里云服务器被通知存在“挖矿”行为,请及时整改
ywanju的博客
04-04 1009
挖矿”行为是违f 的,一般如果不是自己操作的话,那就是被别人攻击了,利用漏洞在你的服务器上面安装了木马之类的东西。早晨被通知阿里云服务器存在挖矿行为,请及时整改,不然服务器被收回。
阿里云服务器挖矿病毒XMrig miner解决方法
热门推荐
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
一次centos挖矿病毒处理经过
a345203172的专栏
10-08 1733
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
排查腾讯云服务器被挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6568
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
[问题已处理]-阿里云与本地机房挖矿病毒处理,又又又毒了
爷来辣的博客
09-21 1129
导语:被挖矿的现象是cpu异常的。正常服务被系统杀掉。 先是发现线上业务挂了。紧接着发现本地机房也挂了。判断病毒应该是由本地机房的跳板机或者开放的端口,或dubbo框架漏洞进来的 基本判断是confluence最新的漏洞导致的 http://www.hackdig.com/09/hack-465498.htm 刚好看到防火墙有之前做的映射暴露出去 后期防火墙可以设置白名单 会用java去下脚本 官方临时升级办法 可能这台机子已经被注入,依旧不行,阿里云还是会告警。 如需要查看完整感染脚本 c
阿里云服务器收到挖矿病毒的攻击,导致基础的文件被病毒污染的问题和对应的处理解决方法
A_rookie的自我成长
09-02 612
情况: 1. 阿里云检测到 异地登陆报警: 2. 然后进而检测到异常进程, kworker 使CPU 无故跑满 3. 收到报警信息后发现 服务器的 22 端口是 默认全网开放的, 修改成指定IP (公司IP) 开放访问 4. 我登陆处理,删除该进程之后, 标处理此异常 5. 发现 过一小时依旧会 重新出现此进程并自己启动, 造成CPU 无故跑满 6. 根据阿里云的提示做好删除和更新 后 进行重启 ...
云服务器挖矿病毒了怎么办?
编码人生
11-22 7536
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器挖矿病毒了,一般情况下挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
我的阿里云服务器发现被挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1991
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 2556
一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是挖矿病毒,如何处理它?
一次阿里云服务器挖矿程序攻击及处理
Crayon
11-26 1399
top命令发现该挖矿程序占用了200%CPU kill掉程序发现第二天仍然会生成该程序,crontab -l 发现存在该定时任务 crontab -e 命令编辑定时任务,删除该定时任务
解决阿里云服务器CUP爆满被用来当挖矿机(病毒解决)
NicolasLearner的博客
10-14 357
1. 发现cup爆满 当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程 然后我再查看pstree进程树 2.杀死进程 kill -9 pid 杀死进程suppoie 进程后,过一分钟该进程又起来了 3. 查找源文件 杀死进程又起来,肯定是有源文件在远程调用其他远程文件植入病毒,查询源文件 find / -name '*suppoie*' 查找到了文件 在/var/tmp 目录下 如下图 然后删除 suppoie , su...
【解决阿里云服务器提示挖矿程序风险2022】
5Yqg576k5Lqk5rWBMTA0NDE5MjkwNQ==
11-06 1421
解决阿里云服务器提示挖矿程序风险2022
一次阿里云ECS服务器图片资源迁移至 阿里云 oss
05-27
好的,您可以先登录阿里云ECS服务器,然后安装OSS工具包,可以使用以下命令: ``` sudo apt-get update sudo apt-get install ossfs ``` 接下来,您需要在阿里云OSS创建一个Bucket,并且获取您的Access Key ID和Access Key Secret。 然后,您需要使用以下命令来mount OSS到您的ECS服务器: ``` ossfs bucket-name /mnt/oss -ourl=oss-cn-hangzhou.aliyuncs.com -o nonempty ``` 在这个命令,"bucket-name"是您创建的Bucket的名称,"/mnt/oss"是您将要mount的本地目录,"-ourl"是您的OSS endpoint,"-o nonempty"用于指定如果本地目录已经存在文件,则不要清空。 最后,您可以使用以下命令将您的图片资源从ECS服务器迁移到OSS: ``` cp -r /your/local/image/dir /mnt/oss ``` 这将会将您本地的图片资源复制到/mnt/oss目录,由于ossfs已经mount了您的Bucket,因此这些图片资源将会自动同步到您的OSS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值