记一次挖矿病毒清除经历
一、问题
一早收到阿里云报警通知短信,说是服务器受到挖矿病毒攻击。
二、解决思路
2.1 top查看进程
先登上服务器查看当前服务器进程,一看四个CUP的空闲率全部为0,有一个进程占用了将近400%的使用率,先杀掉进程。
2.2 删掉守护脚本
一般这种病毒是一个程序,然后会有一个守护脚本来防止你杀掉他。
果然杀掉没多久,这个叫Macron的进程又出现了,首先找到这个病毒程序位置,然后删掉它
进入/usr/bin目录,将今天创建的脚本文件全部删掉
发现文件给锁住了,不给删除。用chattr -i 文件名
解锁被锁住的文件,然后再删除。
2.3 查看其他文件
用find / -maxdepth 1 -newermt "2020-03-09"
命令查看今天修改了那些目录。ll -at
按时间排序,挨个排查掉今天改动过的文件,防止黑客留后门。
crontab -l
:查看定时任务
crontab -l -u xxx
查看指定用户的定时任务
/etc/hosts
:文件查看主机解析,添加了好多主机地址。
/etc/passwd
:查看有没有创建用户
/root/.ssh/authorized_keys
:查看有没有免验证登陆的主机
less /var/log/secure | grep Accepted
:查看登陆服务器的IP
可以查看到一个陌生的IP于4:28登陆我的系统
Mar 9 04:28:51 iZ8vbb3mz6nouzleylfgi9Z sshd[6695]: Accepted password for root from 39.100.138.138 port 58852 ssh2
less /var/log/messages
:查看系统操作日志
通过pid查询运行的程序
[root@prd ~]# ls -al /proc/6977/exe
lrwxrwxrwx 1 root root 0 Nov 8 12:41 /proc/6977/exe -> /opt/jdk-1.8/jre/bin/java
三、再次中招
2020/4/7 刚刚清明节放假回来第一天,打开Grafana监控,发现有一台服务器的CPU占用已经100%。
进入对应服务器top命令查看,kswapd0进程CPU占用率796%
ps查看不到该进程的位置
怀疑该病毒在docker容器内运行,查看docker状态,找到一个容器异常
进入改容器 查看该进程的执行程序在哪里
find / -newermt '2020-03-01 16:34:00'
查找三月一号之后创建的文件,看看黑客留了那些后门
四 依旧是你
2020/4/10 熟悉的名字又出现了
这次准备彻底清查一下
- 查看历史命令
vim /root/.bash_history
发现一段异常操作,按照上下文的命令推算,因该是第一次发现这个病毒之前。很明显是黑客部署病毒的操作。但是又不是这个病毒名字。
初步感觉是上回留的后门没有清干净
无可奈何
2020/4/13他又回来,小弟已经对他无可奈何了,只能遇到一次杀一次了。各位大佬有没有什么方法可以留言给我,万分感激
记一次挖矿病毒清除经历相关推荐
- 记一次挖矿病毒应急处置全过程挖矿处置基本操作
记一次挖矿病毒应急处置全过程&挖矿处置基本操作 一.处置过程 1.查看第一位的pid号:32535 2.进入`/tmp/.X11-unix`目录,其中`11`文件中写的是32535,`01`文 ...
- 记一次简单的挖矿病毒清除---实战
1.top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号 ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2.查看木马保存路径 通过ls -l proc/进程号 ...
- 记一次挖矿病毒的处理
1.远程连接云主机,使用top命令查看资源情况 可以看到cpu是89.2%,使用top命令未发现占用cpu较高的进程: 2.使用ps命令查找占用前十的进程 ps aux --sort=-pcpu | ...
- linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)
话不多说上干货 突然发现服务挂了,服务器无法登录,直接在管理平台重启后登录 检查服务器 top 查看当前服务器情况 发现异常,kswapd0把cpu干爆了 网上查了一圈发现这特喵的是挖矿病毒 惊呆了 ...
- kdevtmpfsi 处理(挖矿病毒清除)
问题描述: Linux Centos 7 环境下的一台服务器CPU直接被打满,上服务器 top 命令看到了一个未知的 kdevtmpfsi 疯狂占用中,情况如下图: 网上搜索了一下 kdevtmpfs ...
- 记一次挖矿病毒的清除,欢迎来讨论
第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程.第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这 ...
- 记一次感染挖矿病毒的经历
2019独角兽企业重金招聘Python工程师标准>>> 下午五点十分.手机开始狂收阿里云ECS实例告警,所有告警都提示机器CPU满载. 迅速登录阿里云查看监控大盘,发现全部38台机器 ...
- linux挖矿病毒清除 .ssh3 /tmp/.
症状: cpu 飙高,如果有java 程序的话会发现程序每隔30分钟重新启动一次 用top命令查看 发现 /tmp/. 这个程序非常消耗cpu 病毒源码 病毒定时任务 清除过程: 1. 先停止定时任 ...
- Window应急响应(六):NesMiner挖矿病毒
0x00 前言 作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它. 0x01 感染现象 1.向 ...
最新文章
- 睿云智合(Wise2C)谈论docker
- iOS 导航栏实现总结
- 【GVA】gorm多对多many2many删除数据的同时级联删除关联中间表中的关联数据
- 批处理 操作mysql_用批处理对MySQL进行数据操作
- python两个装饰器执行顺序_python中多个装饰器的执行顺序详解
- 红旗桌面版本最新运用方式和题目问题解答100例-4
- android activity滑动切换,Android 向右滑动切换Activity, 随着手势的滑动而滑动的效果...
- Groovy新手教程
- oracle做子查询注意事项,Oracle子查询详解
- 官方科普iQOO 5 120W闪充方案:首发6C高倍率电芯 15分钟充入100%
- Java知多少(56)线程模型
- 每个程序员都必须搞懂的抽象类和接口的含义以及区别
- java.lang.NoClassDefFoundError: org/apache/juli/logging/LogFactory的解决(转)
- 深入浅出设计模式(一):单例模式
- 基于89C51单片机的智能语音拨号电话
- OBJ 模型文件与MTL材质文件 介绍
- php 获取一年中的节假日,PHP开发节假日时间表
- 共享单车租用频次分析
- 如何在家免费使用知网?
- 美女SEO系列六:什么是友情链接?
热门文章
- 小孩学创客编程好还是学机器人好
- Python源码:根据输入的年份得到对应的生肖(要求年份>=1900)
- AttributeError WriteOnlyWorksheet object has no attribute cell
- Mary_Morton
- 参赛约束 A、B、C、D、E、F、G、H、I、J 共10名学生有可能参加本次计算机竞赛,也可能不参加。
- 深入学习卷积神经网络中卷积层和池化层的意义
- 周受资离开小米,将加入字节跳动担任 CFO
- 微博曾近一度衰落后来又再次兴起的原因分别是什么?未来微博又应该怎么发展呢?
- java mssql jdbc_spring配置mssql的jdbc驱动
- SQL对数据进行按月统计,或对数据进行按星期统计