记一次解决阿里云服务器被植入挖矿病毒

最新推荐文章于 2025-06-27 16:01:07 发布
最新推荐文章于 2025-06-27 16:01:07 发布
阅读量1.8k 收藏 5
点赞数 2
CC 4.0 BY-SA版权
文章标签: 服务器 运维 docker 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hghjgkjn/article/details/125420439
博主分享了如何发现并解决阿里云服务器被植入挖矿病毒的过程,包括检查进程、排查定时任务、定位到Docker容器,最终通过删除相关文件来解决。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前记

这是第二次发现自己的阿里云服务器被植入了挖矿程序。第一次没有经验,直接通过阿里云控制台把服务器给重置了,这一次,记录一下解决过程。

正文

1,先进入自己的服务器,执行top 命令

top

查看进程


果然发现PID为:15053 barotrauma 这个进程cpu接近100%。
第一次使用kill 直接杀死改进程,打了两把游戏发现该进程又出现了,怀疑此挖矿病毒应该有自动定时重启的功能,于是使用执行查看定时任务命令。

 

crontab -l //直接查定时任务 crontab -l 并找到相关任务


发现并没有找到任何任务。
接着执行下面命令,也无果。

crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除

此方法无效。
2、此时开始查看该进程文件的位置。

  ll /proc/PID/exe


按照文件路径进入,发现此路径下无文件。

有些不死心,因为服务器安装了docker ,所以此时怀疑是因为docker中容器出先了问题。
换个命令接着查找barotrauma文件位置。

find / -name barotrauma


终于找到该文件位置,通过文件路径发现果然是docker中出了问题,按照出现的路径查找到并删除相应的文件。
最后再次执行kill 命令杀死该进程。

后记

可惜的是,当时打开文件是一堆乱码,所以就直接删除了,下次再遇见此问题,要好好研究一下。

附上,当时解决问题时,借鉴的两篇博文
服务器被植入挖矿病毒解决办法 - 梦轻尘 - 博客园
服务器被入侵(minerd挖矿程序)_莫失莫忘Lawlite的博客-CSDN博客_minerd挖矿木马活动事件

秃发映雁
关注
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 4030
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
阿里云服务器被pnscan挖矿病毒入侵如何解决
m0_64344919的博客
01-26 1412
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
阿里云服务器挖矿怎么办
网站安全专家
02-11 5191
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
【攻防篇】解决阿里云docker 容器中自动启动xmrig挖矿-- 实战
最新发布
ladymorgana的博客
06-27 659
阿里云服务器遭遇挖矿程序攻击及解决方案 阿里云服务器部署的Spring Boot项目出现卡顿,CPU占用达100%,经查发现服务器植入xmrig挖矿程序。解决方案包括:1)通过阿里云控制台处理安全告警;2)紧急终止挖矿进程并删除恶意文件;3)清理受感染容器,检查镜像污染;4)加强防护:限制容器资源、关闭Docker API端口、使用只读文件系统等;5)排查入侵来源。实战步骤涵盖进程检查、文件清理、端口防护及容器改造,最终通过重建容器彻底解决问题。建议定期监控容器行为,避免类似攻击。
解决阿里云服务器植入挖矿脚本过程
拽着尾巴的鱼儿的博客
06-21 5541
基于学习的便利性,在阿里云服务中购买了云服务器,但是突然被告警提示被挖矿,而且要在一定期限内解决挖矿问题,否则就会被关停服务,本篇对于其处理过程进行一个录,可能对于挖矿的处理也不全面,欢迎各路大神进行评论交流。以上就是今天要讲的内容,本文仅仅简单录了处理服务器挖矿的流程,录的不全面,欢迎各路大神探讨交流。
阿里云服务器挖矿
weixin_44034675的博客
05-31 1709
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)、ssh远程端口的修改
m0_64422133的博客
10-01 1972
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查。
阿里云服务器挖矿程序侵入问题
samfaker的博客
08-23 1578
gitlab漏洞引起的无文件、无定时任务的挖矿程序解决方法
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
阿里云CPU占用率90%被植入挖矿木马的解决方法
qq_35692642的博客
03-14 5161
目录问题总结 问题 最近几日突然发现服务器CPU占用率满了 我一开始还没在意,但是当打开警告内容的时候心脏骤停 查了一下,发现应该是被别人植入木马挖矿了,使用top命令看了一下CPU占用,发现有个python进程cpu占用率直接拉满,而且总是定时启动,没法直接使用kill杀死进程 使用 vim /var/log/cron 查看了一下计划任务,果然不对劲 但是使用crontab -l查看,什么也没有 网上查了一下,发现可能是木马可能是从6379端口进来的,使用lsof -i:6379看了一下,几百
一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1907
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
我的阿里云服务器发现被中【挖矿程序病毒】 的解决处理
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-20 2436
但两天后发现又出现了相同的报警,上服务器再看了一下,服务器负载正常, 文件修改上只是定时任务文件被改写,看了一下账户录, 发现一些我没什么印象的用户,感觉不像是我加的。再就是对定时任务文件添加了一些特殊权限。这有一天有空就上来看看,登录服务器后,一看问题大了,整个服务器的定时任务被改写了,成了乱码,检查一下其它的程序到还正常,不过打开网站发现突然很慢了,不错,是中毒了,门罗币(XMR)挖矿程序。这时基本的文件修改是改正过来了,但是服务器发现有些慢,找到了一个很耗CPU的进程zigw,杀掉了,
阿里云服务器挖矿解决方法
qq_47464056的博客
07-25 5246
服务器被入侵植入挖矿程序!
服务器植入挖矿病毒-xmrig
weixin_53299145的博客
09-24 3034
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器进程使用top命令查看服务器的cpu和内存占用情况。
服务器被疑似挖矿程序植入107.174.47.156,发现以及解决过程(建议所有使用sonatype/nexus3镜像的用户清查一下)...
weixin_30824479的博客
04-28 372
  此次服务器植入挖矿程序发现起来较为巧合,首先是上周三开始,我通过sonatype/nexus3搭建的仓库间歇性崩溃,但是每次重新start一下也能直接使用所以没有彻底清查,去docker logs里查看发现是执行bash命令和powershell命令出错,没有想明白是什么原因。   后来恰好ES更新7.0版本了,我一看“呦呵,7.0里面连type都没有了?”赶紧跟个风,于是把我运行很长时间...
大佬们云服务器挖矿了怎么解决
qq_43521809的博客
08-30 4331
今天收到阿里云的短信,发现机器被挖矿了,但是top查看进程并没有看到cpu高的进程,这个情况下束手无策,大佬们都是怎么排查解决
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
程序员小R的博客
04-08 490
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序? 下面我们分析一下,是如何被攻击的,先使用git找到我的服务器地址,首次登陆在7点57分,小R还没起床,肯定不是自己登录的,当时小R还没有注意,但是过一会阿里云又提醒被植入木马程序,才引起小R的注意 然后使用暴力破解,进行破解,这里小R的密码用的还是比较复杂的(字母大小写数字标点符号都用上了),但黑客仅用了200多次就破解完成 密码破解成功就可以直接登录到服务器git植入木马挖矿程序 我看可以看到黑客破解一台服务器仅用不到几分钟的时间 现在时时刻刻
阿里云服务器被中木马去挖矿解决方法
热门推荐
qq_74806534的博客
02-20 1万+
终端,输入top命令,看看什么占cpu,01tuvwx,网上没有查了,没有相关服务,应该就是这个了,关键他是root用户,说明我的服务器被提权了,因为一般的话我见过的木马都是www-data用户。发现还是没有但是有个文件是最近添加的,不管是不是的,直接删了(这里可能木马就已经没有了)今天大早上阿里云给我打电话说我的服务器挖矿行为,说我不关了就把我服务器收了。立马打开服务器一看cpu占了99.6%,好好好,中马。查看了最近异常登录,气笑了,直接上的,连忙改密码去了。到这里重启服务器,cpu就降下去了。
阿里云服务器挖矿异常处理
山路曲折盘旋,但毕竟朝着顶峰延伸
10-19 1499
挖矿行为需要强大的算力支持,所以其一定会占用大量的cpu 资源,所以我们以此关键点展开,检查使用cpu资源较高的进程。云服务器中被恶意安装了脚本,然后脚本运行占用了大量的cpu 和内存,触发了云服务器监控的告警;点击详情可以看到路径: /tmp/networkSync。重新用top命令,查看cpu占用情况。kill -9 进程
Photo.scr病毒清除工具:服务器安全解决方案
在使用此类工具时,应当确保来自可信任的来源,并对系统进行彻底的扫描,以确保病毒被完全清除。 ### 知识点五:预防措施 1. **定期备份数据**:定期备份服务器上的数据可以降低数据丢失的风险。 2. **更新和打补丁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值