阿里轻量服务器xmrig挖矿病毒排查处理

最新推荐文章于 2024-09-09 17:18:24 发布
最新推荐文章于 2024-09-09 17:18:24 发布
阅读量1.7k 收藏 14
点赞数 6
文章标签: 服务器 运维 阿里云 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhumuyi0/article/details/134750365
版权

本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100

一、发现xmrig

1.通过top发现xmrig占用了大量cpu,xmrig比较隐蔽,没有对所有的cpu核心消耗完,我这台两核仅消耗一半

2.通过网上搜索发现是挖矿木马

3.尝试直接kill发现杀死之后又会自动重启

二、找出xmrig程序文件位置,并将其目录删除

top查看进程id,杀死进程

通过find命令找出xmrig文件

find / -name xmrig

发现该病毒文件比较设置较隐蔽,为./xmrig格式隐藏文件,删掉这个目录文件,同时验证负载情况

rm -rf /var/tmp/.xmrig

三、其他问题(转载其他博客)

https://blog.csdn.net/aiaidexiaji/article/details/131663833

1.定时任务crontab

通过 crontab -l 发现没有定时任务,但是会重新启动
cd /etc/ 查看crontab文件发现有隐藏的定时任务
通过rm删除文件时 rm -rf /etc/crontab ,没有权限

 1 chattr -ia /etc/crontab
2 rm -rf /etc/crontab


删除后在./etc目录下多看几个crontab文件,发现病毒备份了多个定时任务,只要不是自己的定时任务 直接删文件就好了

2.定时任务2


1.删除定时任务 rm -rf /var/spool/cron
2.删除ssh认证信息 rm -rf ./ssh/
.尽量使用内网链接,不要暴露端口号或者外网地址

3.禁用root远程登录


禁用 root 远程登录的方法(用其它用户su过去):

sudo vi /etc/ssh/sshd_config


关闭 root 远程登录

PermitRootLogin no


重启 ssh 服务

sudo service ssh restart

ZHUMUYI0
关注
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
2款轻量FTP服务器软件
06-23
在这个主题中,我们将探讨两款轻量级的FTP服务器软件——FTPServer和Ocean FTP Server,它们以其小巧的体积、无需安装和简单的配置特性,非常适合个人网站的FTP服务搭建。 FTPServer是一款简洁而高效的FTP服务器...
记一次排查xmirg挖矿程序_xmirg 关闭,腾讯T3手把手教你
2401_84140140的博客
04-09 996
卧槽,真被盯上了,不要慌,我们先看看这个进程在哪里,我们通过以下命令查看进制的执行路径也可以直接查询当前文件根据查询出来的程序地址进入到当前的文件目录下面,然后直接把这个文件目录下的文件删除了,当然,一般他都会自行创建一个单独的文件存放这些东西,如果不是的话,如果自己不认识那些有用那些没用就上报此次挖矿程序,俗称:“自己搞不定,那就给能搞定的人去处理”,哈哈。如果是单独的文件的话,删除了然后kill掉这个进程你以为这就完了吗?当然没有,我们还要查看有没有自启动这个程序的,
Linux服务器防护+对抗挖矿病毒全流程探索
最新发布
weixin_44197439的博客
09-09 972
服务器中了两次挖矿病毒,一次比一次厉害。在此记录一下杀毒全过程,为了永久解决这个问题,也寻找了常见的安全防护方法,为后来作参考。
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 8065
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
记一次服务器挖矿排查过程:xmrig挖矿病毒
热门推荐
矮矮的夏祭的专栏
07-11 1万+
服务器挖矿,记录一下清除xmrig挖矿病毒的解决过程
服务器遭遇xmrig挖矿病毒
康小虎的博客
12-25 3973
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖矿病毒 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4230
在linux服务器上彻底清除xmrig挖矿病毒
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 4313
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
十款最佳轻量级故障排查工具汇总
07-22
教程名称:十款最佳轻量级故障排查工具汇总课程目录:【】(微软小工具套件)SysinternalsSuite【】GeekUninstaller_软件卸载与清理工具【】GPU Shark 0.6.3【】PatchMyPC【】rcsetup142_97300【】Snap2HTML1.5描述...
移植多款轻量级 Web服务器到ARM-Linux系统.rar_ARM WEB服务器_轻量服务器WEB移植
09-20
标题中的“移植多款轻量级 Web服务器到ARM-Linux系统”表明了本文档的核心内容,即探讨如何将多种轻量级的Web服务器软件移植到基于ARM架构的Linux操作系统上。ARM架构通常用于嵌入式设备和小型系统,因为它们在资源...
ESP8266-RTOS-MQTT连接阿里云服务器
01-12
其次,MQTT是一种轻量级的消息协议,特别适合资源有限的设备,如ESP8266。它基于发布/订阅模型,具有低开销、高可靠性以及网络连接断开后的消息重发机制,非常适合物联网设备与云端服务器之间的通信。 连接阿里云...
阿里云服务器修改网卡后无法连接怎么办
01-09
阿里云服务器在进行网络配置更改,特别是将动态IP地址(DHCP)更改为静态IP地址时,可能会遇到连接问题。这种情况通常与网络配置文件的错误设置有关。在Linux系统(如CentOS、Ubuntu等)中,网络接口的配置文件位于`/...
Xmrig挖矿木马排查过程,xmrig占用大量CPU
cf
12-10 4295
4.查找find / -name xmrig 文件,或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/5.删除定时任务 rm -rf /var/spool/cron。6.删除ssh认证信息 rm -rf ./ssh/8.尽量使用内网链接,不要暴露端口号或者外网地址。1.通过top发现xmrig占用了大量cpu。3.尝试直接kill发现杀死之后又会自动重启。7.原因,有可能是redis等程序导致,2.通过网上搜索发现是挖矿木马。
记·Windows挖矿病毒应急响应
chongya927的博客
02-28 2901
Windows挖矿病毒应急响应
服务器中了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法
qq_38398347的博客
02-09 3543
通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 中执行,然后会删除 c3pool 目录。我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件。通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决此病毒的方法。所以,我们将病毒进程杀掉后,再将定时任务删除就行了。打开 cron 目录中的文件后,发现了一条定时任务。
根除矿机病毒xmrig
qq_19582693的博客
07-28 1604
根除xmrig矿机病毒
服务器被植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 2155
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
服务器xmrig病毒处理
m0_46495271的博客
01-18 1098
一般这种病毒都会有一个定时脚本来维护病毒执行的。使用 top 获取 xmrig 进程ID。查看与 xmrig 进程运行相关的文件。把该目录下的文件全部删除。
【转】服务器挖矿病毒排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值