解决挖矿病毒 sshd2(redis未设密码、清除crontab定时任务)

最新推荐文章于 2024-04-02 14:11:56 发布
最新推荐文章于 2024-04-02 14:11:56 发布
阅读量1.6k 收藏 5
点赞数 1
分类专栏: devops 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z2926781/article/details/108317683
版权

在天翼云使用redis,开启了6379端口,但是当时未对redis设置密码、导致挖矿病毒入侵,如图:

此病毒,执行原理,请参考文章:

https://www.freebuf.com/column/211777.html

病毒脚本参考:

https://www.cnblogs.com/mikeguan/p/11314005.html

解决:

一、此病毒在启动后,会占用主机cpu至99%.

 

1. 查询病毒路径,lsof -p pid:

2. 清除病毒线程

kill -9 pid

3. 清除病毒程序

rm -rf /tmp/javax/*

 

二、由于清除后,可由定时任务拉起,比较顽固,在清除进程的同时,要清除定时任务

 

详细如下:

1. 如不使用linux定时任务,crontab,可清除

  • rm -rf /etc/cron.d/root

  • rm -rf /var/spool/cron/crontabs

  • rm -rf /etc/crontab

  • 关闭自启动:

    systemctl disable crond.service

     

2. 如使用,则针对清除

  • rm -rf /var/spool/cron/crontabs/root

  • rm -rf /var/spool/cron/root

注:遇到删不掉的,执行:

  • chattr -i /var/spool/cron/root
  • chattr -a /var/spool/cron/root

cat -n /var/log/cron | tail -10

4. 清除成功后

  • 请给redis设置密码,
  • 配置远程端口安全组
  • 修改redis bind ip(建议)

 

 

zetor_major
关注
专栏目录
彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔记068
添柴程序猿的专栏
12-11 638
sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动。我们执行这个命令,可以看到有个/var/tmp/sshd的文件。rm -rf sshd删除这个文件,然后我们再去top可以看到。我们进入cd /var/tmp。
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3467
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
sshd中毒处理方式
weixin_41474601的博客
07-02 547
1、 查看ssh文件: md5sum /usr/sbin/sshd 备注:centos7.8的ssh文件6开头,查看阿里云是否中毒 2、卸载shhd yum remove openssh 备注:卸载ssh实际上了三个openssh、openssh-clients、openssh-server 3、重装sshd yum install openssh yum install openssh-server yum install openssh-clients 4、查看sshd状态 systemc
linux sshd 病毒清理
希夷的博客
06-27 773
开启flink web submit 引起sshd 病毒的清理
腾讯云Linux服务器中毒, sshd恶意进程导致CPU占用100%
刘献强的专栏
06-15 5416
top 命令, 发现有sshd恶意程序运行, 导致CPU占用100% 2.3 加强防火墙 控制访问该linux的来源IP, 因为是开发用的机器, 只要配置公司和家里的外网出口IP即可. 头痛, 做完 2.1, 2.2, 2.3 后, 恶意程序过一段时间后, 还是会重新下载到/var/tmp目录, 并运行. 最终, 无意中, 发现有恶意的linux定时任务存在, 删除即可!......
关于从ssh发现云主机中挖矿病毒的全流程与解决方式
最新发布
Tassel_YUE的博客
04-02 378
ECS发现中挖矿病毒,本文记录解决方式
记一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1690
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 2944
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称为 kinsing,需要kill后才...
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5770
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
redis未授权访问
ce666666的博客
02-04 1851
前言 不经历风雨,怎能看到彩虹 了解 redis是一个开源的、使用C语言编写的、支持网络交互的、可基于内存也可持久化的Key-Value数据库。 以MemcacheDB、Tokyo Tyrant为代表的key-value分布式存储,在上万并发连接下,轻松地完成高速查询。而MySQL,在几百个并发连接下,就基本上崩溃了。 安装 > wget http://download.redis.io/releases/redis-6.0.8.tar.gz tar xzf redis-6.0.8.tar.gz
sshd2配置指要
weixin_33751566的博客
05-18 230
sshd2配置指要 #sshd是商业化的ssh守护程序,漏洞比openssh少; #下载 #ftp://ftp.ssh.com/pub/ssh #linux/freebsd下的服务端程序源码; ftp://ftp.ssh.com/pub/ssh/ssh-3.2.2.tar.gz #windows下的ssh客户端,一般来说,为了避免问题,尽量使用相...
再一次被入侵之潜伏的挖矿病毒
范一刀的博客
03-08 1939
今天是11月10号,正在忙着做双十一凌晨流量冲击的加固工作,登录xx服务器的时候无意间发现CPU的使用率达到了70%,按常理分析,xx服务器资源不会使用这么高的,ps 排序一下进程资源使用,如下图: 果然,有一个高负载的进程“-sh”,占用CPU达到了599%, 据经验分析,这绝逼又是一个病毒程序,一想到这整个人都兴奋起来了,当即着手查一下; 查监控历史 监控的阈值设置的90%,70%一直...
服务器被黑客攻击和被挖矿之后的SSH安全防御 | SSH security defense after server is hacked and mined
Yl
05-04 2962
PS:本人非专业网络安全攻防人员,仅为个人实践经验。本文可能难免有不当之处,欢迎您的讨论和指导。 1. 确定服务器是否被黑客攻击和被挖矿 确认服务器是否出现被黑客攻击和被挖矿等异常情况的方法有: 1.1. 查看显卡使用是否异常 使用nvidia-smi或其他命令发现显卡使用出现异常,如: 显卡被某用户的不明进程占用,且利用率很高甚至为100%。 1.2. 查看进程信息是否异常 使用top或其他命令发现进程出现异常,如: 某用户的进程运行命令中出现了eth、coin、wallet、pool或其他与挖矿
云主机被挖矿病毒感染的处理过程
小明和一群狗子们
05-27 6018
舍友在宿舍喊着,我的这个云主机好卡啊,难受啊!我让他用top命令看一下CPU占用。 一看吓一跳,一个叫做sysupdate的进程占据了绝大部分的CPU资源。CPU使用率接近100%。 看来肯定是被当矿机了。 清除过程 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程。 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他。 使...
SSH2整合--配置+详解
热门推荐
Hannah
08-26 1万+
最近的项目做完了,整理整理用到的技术,也顺便系统地回顾一下框架基础,防止学而不思则罔,思而不学则殆.          先说说框架整合.最初的架构是最简单的Struts2+Spring3+Hibernate3,数据库使用的是MySQL.分别列出整合需要的jar. Struts: commons-fileupload.jar Commons-io.jar Freemarker.j
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 8274
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
Linux【问题记录 02】腾讯云 cron、sshd 进程CPU占用超95%(亡命徒 Outlaw 僵尸网络攻击)问题排查及处理步骤
Java与大数据相关实践内容分享!
09-15 1444
Linux【问题记录 02】腾讯云 cron、sshd 进程CPU占用超95%(亡命徒 Outlaw 僵尸网络攻击)问题排查及处理步骤
记一次清除Linux挖矿病毒的经历(sysupdate, networkservice进程)
小陈没烦恼
12-04 820
前言 今天登上服务部署个文件,然后顺便看了一下cpu占用情况,然后我就发现CPU爆满,因为之前遇见过这个问题让别人给解决了,据说这是被挖矿了。通过kill命令结束掉这个进程一会就自己有起来了,所以我就百度了一下。看来还真有小伙伴跟我一下,所以我也自己记录一下,方便以后查看。 查看CPU使用情况 通过top命令查看cpu占用情况,发现有一个程序占用90%多的cpu资源,那么着肯定是不正常。而且我们的发现他个伪装成了系统更新,可能小白中的小白就真的误以为系统更新占用了cpu。 删除木马...
一次Linux服务器被入侵和删除木马程序的经历
qq_30665009的博客
05-19 2704
一、背景 上午看到有台服务器流量跑的很高,明显和平常不一样,流量达到了500Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和***有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现...
Linux系统中使用crontab进行定时任务设置
2. **`-r`**: 删除当前用户的定时任务表,即清空所有的crontab条目。 3. **`-l`**: 列出当前用户的定时任务表,展示已经设置好的crontab任务。 #### `crontab`时间格式 `crontab`的时间格式由5个字段组成,从左到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值