背景

  1. 服务器是在本地,通过云服务器透传访问的
  2. 前面已经出现几次被挖矿,导致模型训练很慢,以前仅仅kill完事

下面仅记录 找+删 执行文件,为何被侵入还没懂

情况及处理步骤

显卡被占用

输入

watch -d -n 1 nvidia-smi

发现有程序将GPU占用100%(正常人写的模型很难一直100%吧,总要跟磁盘、CPU交互,暂停GPU

查询执行用户

输入

ps -ef | grep 20453

下面是我找到文件后,重新执行,复现的,pid不是同一个(原来的kill忘截图了

可以看到,程序名还搞的python3,贼鸡贼

找程序的文件位置

输入

cd /proc/20453
ll -l exe


这文件位置藏得深,名字也是极具欺骗

查看文件情况


可以看到有4个文件

  1. main.js*
  2. python*
  3. train.py
  4. x*

【后面我直接把这个文件复制到home下,珍藏起来慢慢看,然后把源位置的文件删除了】

文件分析查看

到珍藏位置看文件情况

python:是个挖矿程序
x:貌似是个伪装程序名的工具,提供各种name、用户名修改
train.py:只是存pid号
main.js:执行脚本。包含伪装程序(python3)、pid保存文件制定(train.py)、挖矿程序python、以太坊的矿池、用户地址

如果想复现,执行

./main.js

思考

  1. 看文件日期,挖矿的文件在7月就放到我主机了,那次好像也有挖矿的
  2. 看了我用户下的history,看不到执行的命令,难道被删了
  3. 我用户的密码才改,强度还阔以,暴力没那么容易,怀疑是有root权限的账号被破解了,进入我的账号执行的
  4. 查看了lastb,有很多暴力破解ssh 的记录,一直有。除了改密码暂时不晓得咋应对

记一次排查服务器被挖矿记录相关推荐

  1. 排查腾讯云服务器被挖矿病毒【pnscan】挟持

    一.问题发现 最新在使用腾讯云部署项目应用,具体方式为docker部署.今天早上发现腾讯云发来一条报警信息: 看到信息中说到攻击行为,怀疑是否中了病毒,决定排查一下问题. 二.排查过程 首先登录腾讯云 ...

  2. 记一次服务器被挖矿木马攻击的经历

    背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...

  3. 如何查看2012服务器登录日志文件,怎样查看2012服务器远程过记录

    怎样查看2012服务器远程过记录 内容精选 换一换 添加二级域名解析的流程与普通的方式相同,仅需要保证主机记录不为空即可.现以公网域名example.com为例,说明为二级子域名123.example ...

  4. 阿里云服务器被挖矿程序侵入问题

    一.起因 公司需要自行管理代码,所以搞了个阿里云服务器装Gitlab,装的时候版本是13.9.4(在Gitlab挖矿漏洞的版本内).一直正常使用,然后半夜突然收到阿里云告警短信,说服务器可能存在挖矿程 ...

  5. Linux服务器被挖矿及解决办法

    记录一次Linux服务器被挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除.上网查找发现,这几个文件的 ...

  6. 阿里云服务器提示挖矿程序 该怎么解决

    阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安 ...

  7. 痛心:实验室服务器被挖矿怎么办?

    Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https ...

  8. 总结排查服务器上传下载慢的几种手段与查看服务器带宽的具体方法

    一.排查服务器上传下载 最近出现的一个情况,服务器上传和下载比较慢,因此我排查了种种手段,特此记录下几种常见的手段. 1.使用speedtest-cli 测试网速: 该方法是测试网速的速度怎么样,看看 ...

  9. 云服务器中挖矿病毒了怎么办?

    今天早上一起来,收到几十条阿里云发过来的短信,说的是6379端口已被禁用,好家伙从我redis的端口进行植入病毒对吧,接着登录服务器里面用top命令查看 发现一切都是正常的情况,那我们到阿里云控制台去 ...

最新文章

  1. 云原生思想 — 云原生的 DevOps
  2. SpringBoot 自动配置
  3. iOS多线程的初步研究(十)-- dispatch同步
  4. linux下的arm仿真,使用QEMU仿真ARM Linux系统
  5. C++中局部变量可以和全局变量重名吗?
  6. 前后端交互json字符串
  7. 演示IPFS的一个完整的流程以及针对部分概念的详解
  8. 无法安装软件之解决其一 (windows installer服务篇)
  9. 简述C++程序编写的过程
  10. java jar包示例_Java包getSpecificationVersion()方法和示例
  11. python中判断字符串的常用操作
  12. 腾讯企业邮箱服务器地址imap端口号,腾讯企业邮箱如何设置IMAP、POP3/SMTP及其SSL加密方式...
  13. 支付宝芝麻分多少算正常?分高有什么好处?
  14. java.util.ConcurrentModificationException错误解决方案
  15. 修改WebBrowser控件的内核解决方案
  16. 文件名的命名规则是什么
  17. moudbus报文解析
  18. 死亡、疾病、意外,如何面对?
  19. echarts实现中国地图踩过的坑--------有些省的value可以拿到,有些省的value拿不到
  20. 华为p30应用软件开启速度测试,华为P30Pro速度测试,与iPhoneXS Max的差距,果粉无法淡定了!...

热门文章

  1. Linux操纵细碎以太网卡的装配及设置-2
  2. 打开计算机桌面上没有跑哪里去了,Win8.1我的电脑图标跑哪去了怎么放桌面
  3. prism 修改默认的View和ViewModel映射
  4. 用Python做一个抢票脚本,演唱会门票轻松到手!
  5. POJ - 3169 SPFA解差分约束除了有解,负环还有另一种情况
  6. adb命令 激活并设置默认输入法
  7. 中国人工智能领域企业分类(附未来企业排行)
  8. 企业微信回调实现(java)
  9. 十大排序算法(C++)(时间复杂度O(nlogn)篇:希尔排序、堆排序、快速排序、归并排序)
  10. 手机二维码软件及资源大汇总