记一次centos中挖矿病毒处理经过

最新推荐文章于 2024-03-25 11:16:47 发布
原创 最新推荐文章于 2024-03-25 11:16:47 发布 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #挖矿 #病毒

环境:centos7.6

挖矿进程:rabiit

1、先关闭无用对外端口
   (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户
2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务
     crontab -e  
     /var/spool/cron/ 
     /etc/crontab 
     /etc/cron.d 
     /etc/cron.daily 
     /etc/cron.houly 
     /etc/cron.mouthly
     /etc/cron.weekly
     systemctl stop crond.service  先暂停定时任务,等处理完再开启
3、首先top查看系统进程情况,观察CPU或者内存占用多的进程
       ps -ef|grep PID 查看可疑进程的启动位置
       netstat -anp|grep PID  查看可疑进程的网络连接情况
4、根据前面2和3收集的可疑文件位置,进入可疑文件夹
     查看里面可能启动的文件,分别查看对应的进程情况    
5、关闭对应的进程
     kill -9  PID
6、根据可疑文件的名称,在/下进行搜索,找到并删除可疑文件夹(

最低0.47元/天 解锁文章

200万优质内容无限畅学
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 8303
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1328
CentOS处理挖矿病毒 - kthreaddk
centos 处理挖矿病毒
weixin_44606690的博客
01-04 888
处理挖矿病毒,真的恶心啊占用CPU百分之50
CentOS处理挖矿病毒 - kthreaddi
YHJ
06-13 1885
没成功,只是录下思路。 我的是直接重装系统镜像。。。 最近阿里云服务器一直提醒我服务器收到了病毒攻击,cpu的占有率甚至达到了100% 阿里云也给我狂发消息: 因攻击我不可能写程序攻击别人的服务器啊,一定是中病毒了!!! 1.查找病毒进程: ps -aux | sort -k3nr | head -5 或者 top 发现病毒: 原来是一个挖矿病毒,最近由于比特币的疯涨,可能带动了其他挖矿病毒的产生,这个病毒不仅能疯狂占据cpu资源而且还能通过服务器的端口攻击其他服务器,十分恶毒!
阿里云服务器centos7挖矿病毒处理
08-05 3429
【阿里云】尊敬的1*********6:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1 处理过程: 1、查找异常进程,确定病毒进程,定位病毒脚本的执行用户 2、杀掉病毒进程,注意要检查清楚,病...
一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1326
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
centos7挖矿病毒处理方法
最新发布
04-12
处理CentOS 7挖矿病毒时,首先需要识别出挖矿病毒的特征,例如xmrig这类恶意软件可能会导致CPU使用率异常飙升,占用超过100%的CPU资源。挖矿病毒通常会通过自动启动的方式持续运行,即使在用户手动删除相关进程后...
一次centos挖矿病毒感染的经历
fengwuxichen的博客
04-26 1万+
公司测试环境一台虚拟机被挖矿病毒感染,CPU持续飚高。感染原因应该是redis没有设置密码导致的。录一下临时处理录。 安装busybox 由于系统中的链接库、依赖可能已经被病毒篡改,如果需要仔细排查的话要先安装busybox,不然直接使用ps或者top是可能看不到病毒的,我这边是直接拉起一个busybox的docker容器,把busybox从容器中复制出来,放到中毒机器的/usr/bin下面。...
Centos挖矿病毒处理过程
2301_77388529的博客
04-03 1125
服务器系统中毒后一般会出现异常进程,负载高,CPU占用高,带宽跑满的情况, 为防止你的服务器中招建议服务器 FTP 数据库 网站 Redis等请勿使用简单的密码 轻的只会跑资源 严重的删网站删库 下面说下中毒的处理流程。建议:处理完成之后备份好数据重装系统,病毒作者可能还留有后门,重装系统后加强密码 服务器管理 安装相应的防御软件 希望该教程能让你get到技能。rm /bin/dhpcd ###确定该进程不是自己安装的删除该文件,不确定可以先mv到其他目录。直接使用”dd”,删除计划任务。
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 3454
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
linux centos7 解决挖矿病毒kthreaddk 高CPU占用
m0_66127371的博客
09-30 2001
病毒修复
一次真实liunx挖矿病毒处理
m0_63028223的博客
02-27 678
一次liunx挖矿木马应急处理
动态库劫持挖矿病毒处理
u010101453的博客
05-20 501
动态库劫持病毒的定位与扫毒
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1442
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
centos cron_如何在CentOS 8上使用Cron自动化任务
08-16 1596
centos cronA previous version of this tutorial was written by Shaun Lewis. 本教程的先前版本由Shaun Lewis编写。 介绍 (Introduction) Cron is a time-based job scheduling daemon found in Unix-like operating systems...
一次阿里云被挖矿处理
热门推荐
x1172031988的专栏
07-08 4万+
一次阿里云被挖矿处理过程
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
03-26 1256
在收到阿里云的安全警告2条 1、异常登录-ECS在非常用地登录 2、恶意进程(云查杀)-挖矿程序 根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码 输入命令passwd 回车输入新的密码 第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接 iptables -I INPUT -s 68.183.140.39 -j DRO...
服务器被挖矿了怎么办,实战清退
qq_14926283的博客
03-25 2808
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
阿里云Centos7.5 被蠕虫病毒挖矿,kdevtmpfsi进程导致CPU使用率爆棚
qq_38181949的博客
08-20 1013
一、问题 操作系统: 阿里云服务器 Centos7.5 使用top命令查看进程,发现有一个kdevtmpfsi Command进程的CPU占用很大。这个进程并不是自己的一个服务。 使用Kill命令,杀死这个进程之后,再过10几秒CPU进程中又出现了该进程。 二、解决办法 查看定时任务列表 # 查看定时任务列表 crontabe -l # 会发现里边有一个恶心的定时任务 删除定时任务 crontabe -e #删除掉定时任务,wq保存退出 查看kdevtmpfsi 进程信息 ps -e
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个挖矿程序,这些程序会利用计算机的处理能力和电力资源来进行加密货币的挖矿操作。这样的行为会导致计算机性能下降、电力消耗增加,并且可能会给用户带来经济损失。 为了防止CentOS挖矿病毒的感染,你可以采取以下措施: 1. 及时更新操作系统和软件补丁,以修复潜在的漏洞。 2. 安装可靠的防病毒软件,并定期进行全盘扫描。 3. 谨慎下载和安装软件,尤其是来自不可信的来源。 4. 避免点击可疑的链接或打开未知的附件。 5. 使用强密码,并定期更改密码。 6. 定期备份重要数据,以防止数据丢失。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值