处理服务器挖矿木马

最新推荐文章于 2025-07-12 11:48:07 发布
最新推荐文章于 2025-07-12 11:48:07 发布
阅读量4.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 挖矿
个人博客:https://blog.sreio.com
本文链接:https://blog.csdn.net/weialemon/article/details/79021796

   挖矿木马潜伏在服务器上,可能每一个木马名称都不一样,但是大致基本一样。

  由于我之前处理时候并没有保留图片,所以此文章依据别的文章所做整理。

  杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。

类似于这样,cpu达到百分之百了,这样的进程杀都杀不掉

很明显是病毒进程,下意识的把它kill了,但是一分钟之后又自动重启了,于是百度了一下,发现这个东西叫做挖矿工,简单的说,就是别人用你的服务器去做它自己的事,然后赚钱。

第一步就是对redis进行了配置上的修改:

① 把默认的端口号6379给改了
② 把密码改的更复杂了
③ 把bind xx.xx.x.xxx.xx.xx.xx改了

第二步就是把已经入驻的木马杀死,它不仅使用我的服务器,它还登录我的账号,所以查看了 /root/.ssh下的文件,在/root/.ssh/known_hosts中发现了我不认识的IP,绝对有问题,于是干脆把 /root/.ssh下的文件都删了,省事了。

第三步就是要找到所有关于病毒的文件, 执行命令  find / -namewnTKYg*,只有/tmp下有这个文件,删了,然后就去killwnTKYg进程,你以为这样它就可以死了吗?Never!一分钟之后它又复活了,我猜测一定有守护进程在唤醒它,于是我再kill 然后top观察进行变化,终于被我发现了,有一个/tmp/ddg.1007进程很可疑,于是百度这个东东验证了一下,果然,就是挖矿工的守护进程,用ps-aux|grep ddg 命令把所有ddg进程找出来杀掉,并删除/tmp目录下的所有的对应ddg文件,至此,病毒被解决了,异地登录,安全扫描什么的也被我解决了。

(还有crontab -e)看看是否有可疑的定时任务,把这个也清理掉


网友也提供了一种解决方案,我把他的也贴进来与大家分享谢谢这位网友:

首先关闭挖矿的服务器访问 

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP
iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP    
然后删除yam 文件  
用find / -nameyam查找yam文件    
之后 找到wnTKYg 所在目录 取消掉其权限  并删除
然后再取消掉 tmp的权限并删除  之后 pkill wnTKYg就OK了。

原博文地址:http://blog.sina.com.cn/pastlifezhangchilde

《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
解决 ECS 服务器中了挖矿木马问题,处理和解决方案
简简单单Onlinezuozuo
02-02 1388
文章目录解决 ECS 服务器中了挖矿木马问题,处理和解决方案1、监控 CPU 占用2、查看定时任务3、解决方案4、保守解决方案5、mysql 无法启动的情况 解决 ECS 服务器中了挖矿木马问题,处理和解决方案 1、监控 CPU 占用 top 显示一次后,立马消失,但是监控到的占用是 100% 因为进程被隐藏,或者有守护进程 2、查看定时任务 crontab -l 会发现存在定时任务 3、解决方案 删掉定时任务 rm -rf /etc/cron.d/root rm -rf /var/spool/cr
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 2058
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。
什么是挖矿木马?我猜你还不知道
最新发布
QXXXD的博客
07-12 247
挖矿木马是一种恶意程序,会在用户不知情的情况下植入电脑,利用计算机资源进行加密货币挖矿。常见感染途径包括下载不明软件、点击钓鱼邮件附件、系统漏洞和访问恶意网页。挖矿木马会导致CPU使用率飙升,电脑卡顿。可通过杀毒软件、流量分析工具检测。分析发现某样本会生成随机名称文件并连接德国服务器传输数据。预防措施包括安装杀毒软件、更新系统补丁、设置高强度密码、不下载不明程序。及时清理可疑文件可有效防护。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 3424
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
服务器挖矿病毒了怎么办?
编码人生
11-22 7632
今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去查看当前实例的情况 果然不出我所料,挖矿程序疯狂压榨我的服务器,导致服务器cup占用率都到100%了 好的,写作素材又有了 首先我们知道服务器挖矿病毒了,一般情况下中了挖矿病毒,有些病毒入侵较深的话,关联到系统底层组件,是很难彻底清除的.从安全角度不建议继续使用这个系统,可以做好快照的前提下,通过重置系
linux服务器挖矿病毒处理方案
liu854046222的专栏
10-22 4523
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。
Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114
Narutolxy的博客
01-14 1082
详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案,助力运维人员提升应急处置能力。
张大哥笔记:服务器挖矿木马程序,该如何处理
qq1369153265的博客
04-29 1065
挖矿是跟区块链以及虚拟币有关系,虚拟币是挖矿挖出来的,每间隔一段时间,比特币或者以太坊虚拟币就会在他们的区块链系统上生成一个块的随机代码,网络上的所有服务器都可以去找这个随机代码,也就是挖矿的过程对这个随机代码进行挖掘,谁挖到这个代码就会产生一个区块链的块,那么比特币跟以太坊就会奖励找到随机代码的人,奖励一定数量的虚拟币,那么挖矿的人就会有动力去挖矿,去维护整个区块链节点的网络正常运行,挖矿需要计算哈希值需要服务器处理能力,所以有些攻击者利用入侵别人服务器来给自己挖矿获取利润。
挖矿木马应急响应
YZ22431的博客
07-22 707
2024 年 7 月 22 日,接用户反馈,局域网内一些Windows 终端设备和 Server在运行一段时间后出现莫名卡顿,怀疑内网感染了挖矿病毒。客户要求查明原因,确认影响范围,删除相关病毒文件并找出感染途径,梳理时间链,从而避免下次出现相同问题。
服务器挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 1209
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 2820
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 2527
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
Linux - 服务器.Xr1挖矿病毒解决记录
LeyiChen_X的博客
08-13 1275
2. 问题定位1. 发现问题开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程2. 问题定位2.1 通过top命令查看, 发现 xr文件, CPU占用过高, 服务器运行时间长了, 会出现很多xr的进程 (这里只有两个是因为刚重启过)2.2 进入进程文件夹, 查看进程文件信息, 才发现是根目录下的 .XL1的隐藏文件2.3进入/.Xr1文件夹可以看到有一个执行文件和一个配置文件2.4查看配置信息可以看到里面有。
linux 木马 源码,一款新型的Linux挖矿木马来袭
weixin_29577885的博客
05-12 1463
事件描述样本分析1.对一系列矿池地址进行DNS查询请求,如下:相应的矿池地址列表如下:pool.minexmr.com、xmr-eu1.nanopool.org、xmr-eu2.nanopool.orgxmr-us-east1.nanopool.org、xmr-us-west1.nanopool.org、xmr-asia1.nanopool.orgxmr-jp1.nanopool.org、xmr-...
挖矿木马简单分析
AlwaysBetter
07-27 2087
#!/bin/sh #更改当前进程最大打开文件数为65535 ulimit -n 65535 #删除linux下系统关键日志信息 rm -rf /var/log/syslog #给chattr最高权限 chattr (chattr可以修改文件隐藏属性,如不可删除) chmod 777 /usr/bin/chattr chmod 777 /bin/chattr # -iua i:只许修改,不允许建立和删除 u删除文件会保存,以后可以恢复 a只允许建立和修改,不允许删除 # -iua 和 + 相反 去除文件
记录一次阿里云redis被黑客植入挖矿木马
等_天蓝再看海的博客
03-22 2049
1.top查询占用CPU进程2. find / -name 进程3.rm -rf 文件4.ps -ef | grep -v grep | egrep '进程' | awk '{print $2}' | xargs kill -95.crontab -l查看定时任务6.echo > /var/spool/cron/root清除定时任务7.清除/root/.ssh/目录下的对应密匙8.重启red...
一个名叫aliyun的挖矿木马处理过程
02-26 1551
点击箭头处“蓝色字”,关注我哦!!作者 | @hksanduo来源 | https://hksanduo.club/security/2019/12/19/clean-up-a-mini...
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值