记一次服务器中了挖矿病毒的检测及删除方法

已于 2023-09-20 18:14:38 修改
阅读量244 收藏 1
点赞数 1
文章标签: 服务器 运维 linux 网络安全 安全 安全架构 安全威胁分析
于 2023-09-20 18:03:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhimeng1/article/details/133069450
版权

时间:2023年9月18日,星期一

事情经过:周末度过一个无钉钉报警的周末,作为一个老末运维,狠感欣慰。2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。

        于是首先打开代理服务器,发现nginx已挂(docker部署),进程已kill掉。

docker提示:failed to start daemon: Error initializing network controller: error obtaining controller instance: failed to create NAT chain DOCKER: Iptables not found
首先发现的问题:

0、prometheus和grafana、AlertManager全挂了。赶紧启动监控报警,10台同时爆cpu。

1、有10台服务器持续报警、有docker服务的全挂了。


2、iptables被强制删除了。

最低0.47元/天 解锁文章
zhimeng1
关注
服务器挖矿病毒检测删除方法
penriver的博客
12-13 8524
本文提供了服务器挖矿病毒检测删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
排查腾讯云服务器挖矿病毒【pnscan】挟持
fanxindong0620的博客
09-27 6528
一、问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署,今天早上起床发现腾讯发来一条报警信息: 二、排查过程 使用last查看最近登录信息 使用history查看历史指令 查看/etc/passwd下的账户信息 查看日志文件/var/log/secure和/var/log/message 使用top查看进程运行信息 使用netstat查看端口信息 三、解决方案 ...
排查挖矿病毒
gender123的博客
03-28 4632
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
阿里云服务器---排查挖矿病毒
lvxiucai的博客
02-06 4093
1.背景 一次排查挖矿病毒的过程,其实都是按照阿里云官方教程操作,其有些操作命令需要重点录下,为后面生产环境做铺垫学习。 2.现象 近期测试服务器有黑客通过redis的6379端口入侵,然后阿里云发送报警信息,然后登录控制台发现以下报警信息: 3.恶意文件删除 原先还担心 /etc/sysguard 是不是系统自带的,后来,检查看了下其他机器/etc目录下,都无此文件。遂放心...
服务器挖矿怎么办,如何彻底删除挖矿文件
weixin_39922352的博客
06-06 4571
一分钟解决服务器挖矿,彻底删除挖矿程序
一次挖矿木马病毒排查过程
vbaspdelphi的专栏
04-17 8289
兰眼发现该机器与挖矿网站有通信。通知用户进行查杀。电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件。 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现。 但是使用火绒再次扫描系统,依旧发现有文件映像劫持。大体意思是图片文件扩容属性运行taskmgr.exe。 那么什么是映像劫持呢? 什么是映像劫持 也许你曾遇到过这种情况:无论你将软件安装在什么地方,在运...
挖矿病毒攻击的排查处置手册
煜铭2011
07-01 9250
一、背景 在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。 为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析检测处置建议。 二、为什么会感染恶意挖矿程序 通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式: 2.1.利用类似其他病毒
一次挖矿病毒的溯源
蚁景网安学院
12-15 1630
客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddos攻击,然后去查看web服务器管理面板时发现网络链接很少,但是cpu占用高达99%,于是便怀疑是挖矿病毒
一次xmrig挖矿病毒排查日
weixin_43831977的博客
02-23 1365
一台运行了好久的服务器CPU使用率达到100%,脑海第一个想法就是病毒了,于是开始了我的杀毒之旅。 解决方案 登录服务器查异常进程 top -c 可以发现有个名为xmrig的进程CPU使用率98.7% kill掉异常进程 经过top命令发现异常进程的pid,通过kill命令杀掉进程 kill -9 15866 删除危险文件或目录 经过top命令发现异常进程的执行目录,删除危险目录 rm -rf c3pool/ 检测 可以使用top命令查看,我这里使用了shell脚本检测CPU、磁盘、内存使用
最新挖矿病毒xmrig清除方法和原理
最新发布
m0_73140589的博客
03-21 3745
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
针对挖矿病毒的简易三板斧
wangluoanquan111的博客
08-11 779
本文只基础说明遇到挖矿病毒的简单快速的处理思路,现实生产遇到的病毒复杂的多。当企业面对病毒攻击的时候,一定要尽快交予专业安全人士处理,减少损失。
Linux下的虚拟化部署【2】
qq_38664479的博客
05-08 774
脚本方式管理虚拟机 设定用户级vim的配置文件 ts=4表示1个tab键等于4个空格,ai表示缩进,et表示将tab键转化为空格 1、脚本方式安装虚拟机 使用命令sh westos_vm.sh即可安装名为westos的虚拟机,查看其设备如下: 以上脚本只能安装固定名称的虚拟机,为了安装用户需要的虚拟机,将脚本修改如下: 在脚本添加条件判定 test –z 字符串:字符串的长度为零 test –e file :文件存在 命令1 && 命令2 :&&表示前面的
清除阿里云服务器挖矿程序过程
shuizhongmose的专栏
04-02 2881
历时一天阿里云ECS服务器清除挖矿程序过程
Xmrig挖矿入侵服务器排查
BothSavage
03-19 1018
挖矿程序入侵
挖矿病毒排查并清除
zm96309的博客
02-28 4716
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有挖矿病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
录解决阿里云ES服务器提示挖矿程序
张先生
12-11 5009
前言 突然收到阿里云的短信提醒,说服务器出现了恶意挖矿程序,还好这台上都是测试服务器,之前也做了数据备份,可以放心去整,不过还是得小心严重操作前得备份下 处理过程 1、检查服务器负载与CPU利用率,确定挖矿程序进程 执行命令: top , 如图: 发现有一个 network01的东西占用cup达到了87%,但我在服务器器根目录下的 tmp 下并没有看到这玩意 由上确定了PID进程号,查看进行所在的目录。执行命令, 并没有明确的位置,可以看到可执行文件链接 ll /proc/进程ID 然
我的阿里云服务器发现被挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 1674
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
centos6.8服务器挖矿程序病毒的解决方法
emtit2008的专栏
03-26 1102
在收到阿里云的安全警告2条 1、异常登录-ECS在非常用地登录 2、恶意进程(云查杀)-挖矿程序 根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码 输入命令passwd 回车输入新的密码 第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接 iptables -I INPUT -s 68.183.140.39 -j DRO...
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值