一、问题

一早收到阿里云报警通知短信,说是服务器受到挖矿病毒攻击。

二、解决思路

2.1 top查看进程

先登上服务器查看当前服务器进程,一看四个CUP的空闲率全部为0,有一个进程占用了将近400%的使用率,先杀掉进程。

2.2 删掉守护脚本

一般这种病毒是一个程序,然后会有一个守护脚本来防止你杀掉他。
果然杀掉没多久,这个叫Macron的进程又出现了,首先找到这个病毒程序位置,然后删掉它


进入/usr/bin目录,将今天创建的脚本文件全部删掉

发现文件给锁住了,不给删除。用chattr -i 文件名解锁被锁住的文件,然后再删除。

2.3 查看其他文件

find / -maxdepth 1 -newermt "2020-03-09"命令查看今天修改了那些目录。ll -at按时间排序,挨个排查掉今天改动过的文件,防止黑客留后门。

crontab -l :查看定时任务
crontab -l -u xxx 查看指定用户的定时任务
/etc/hosts:文件查看主机解析,添加了好多主机地址。

/etc/passwd:查看有没有创建用户
/root/.ssh/authorized_keys:查看有没有免验证登陆的主机
less /var/log/secure | grep Accepted:查看登陆服务器的IP

可以查看到一个陌生的IP于4:28登陆我的系统

Mar  9 04:28:51 iZ8vbb3mz6nouzleylfgi9Z sshd[6695]: Accepted password for root from 39.100.138.138 port 58852 ssh2

less /var/log/messages :查看系统操作日志

通过pid查询运行的程序

[root@prd ~]# ls -al /proc/6977/exe
lrwxrwxrwx 1 root root 0 Nov  8 12:41 /proc/6977/exe -> /opt/jdk-1.8/jre/bin/java

三、再次中招

2020/4/7 刚刚清明节放假回来第一天,打开Grafana监控,发现有一台服务器的CPU占用已经100%。


进入对应服务器top命令查看,kswapd0进程CPU占用率796%

ps查看不到该进程的位置

怀疑该病毒在docker容器内运行,查看docker状态,找到一个容器异常

进入改容器 查看该进程的执行程序在哪里

find / -newermt '2020-03-01 16:34:00' 查找三月一号之后创建的文件,看看黑客留了那些后门

四 依旧是你

2020/4/10 熟悉的名字又出现了

这次准备彻底清查一下

  • 查看历史命令vim /root/.bash_history

发现一段异常操作,按照上下文的命令推算,因该是第一次发现这个病毒之前。很明显是黑客部署病毒的操作。但是又不是这个病毒名字。

初步感觉是上回留的后门没有清干净

无可奈何


2020/4/13他又回来,小弟已经对他无可奈何了,只能遇到一次杀一次了。各位大佬有没有什么方法可以留言给我,万分感激

记一次挖矿病毒清除经历相关推荐

  1. 记一次挖矿病毒应急处置全过程挖矿处置基本操作

    记一次挖矿病毒应急处置全过程&挖矿处置基本操作 一.处置过程 1.查看第一位的pid号:32535 2.进入`/tmp/.X11-unix`目录,其中`11`文件中写的是32535,`01`文 ...

  2. 记一次简单的挖矿病毒清除---实战

    1.top 命令查看进程,cpu使用达到100% 此处尝试使用 kill -9+ 进程号  ,强制杀死进程后,病毒进程又重启,怀疑设置了定时任务 2.查看木马保存路径 通过ls -l proc/进程号 ...

  3. 记一次挖矿病毒的处理

    1.远程连接云主机,使用top命令查看资源情况 可以看到cpu是89.2%,使用top命令未发现占用cpu较高的进程: 2.使用ps命令查找占用前十的进程 ps aux --sort=-pcpu | ...

  4. linux处理kdevtmpfsi,kswapd0(挖矿病毒清除)

    话不多说上干货 突然发现服务挂了,服务器无法登录,直接在管理平台重启后登录 检查服务器 top 查看当前服务器情况 发现异常,kswapd0把cpu干爆了 网上查了一圈发现这特喵的是挖矿病毒  惊呆了 ...

  5. kdevtmpfsi 处理(挖矿病毒清除)

    问题描述: Linux Centos 7 环境下的一台服务器CPU直接被打满,上服务器 top 命令看到了一个未知的 kdevtmpfsi 疯狂占用中,情况如下图: 网上搜索了一下 kdevtmpfs ...

  6. 记一次挖矿病毒的清除,欢迎来讨论

    第一次发现服务器异常就是cpu爆满,但没有影响到服务器上的项目正常使用,所以没在意就关掉不用的进程.第二次发现异常是客户反馈项目不能用了,排查问题的时候发现cpu爆满,nginx被停止(当时没有在意这 ...

  7. 记一次感染挖矿病毒的经历

    2019独角兽企业重金招聘Python工程师标准>>> 下午五点十分.手机开始狂收阿里云ECS实例告警,所有告警都提示机器CPU满载. 迅速登录阿里云查看监控大盘,发现全部38台机器 ...

  8. linux挖矿病毒清除 .ssh3 /tmp/.

    症状: cpu 飙高,如果有java 程序的话会发现程序每隔30分钟重新启动一次 用top命令查看 发现  /tmp/. 这个程序非常消耗cpu 病毒源码 病毒定时任务 清除过程: 1. 先停止定时任 ...

  9. Window应急响应(六):NesMiner挖矿病毒

    0x00 前言 作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它. 0x01 感染现象 1.向 ...

最新文章

  1. 睿云智合(Wise2C)谈论docker
  2. iOS 导航栏实现总结
  3. 【GVA】gorm多对多many2many删除数据的同时级联删除关联中间表中的关联数据
  4. 批处理 操作mysql_用批处理对MySQL进行数据操作
  5. python两个装饰器执行顺序_python中多个装饰器的执行顺序详解
  6. 红旗桌面版本最新运用方式和题目问题解答100例-4
  7. android activity滑动切换,Android 向右滑动切换Activity, 随着手势的滑动而滑动的效果...
  8. Groovy新手教程
  9. oracle做子查询注意事项,Oracle子查询详解
  10. 官方科普iQOO 5 120W闪充方案:首发6C高倍率电芯 15分钟充入100%
  11. Java知多少(56)线程模型
  12. 每个程序员都必须搞懂的抽象类和接口的含义以及区别
  13. java.lang.NoClassDefFoundError: org/apache/juli/logging/LogFactory的解决(转)
  14. 深入浅出设计模式(一):单例模式
  15. 基于89C51单片机的智能语音拨号电话
  16. OBJ 模型文件与MTL材质文件 介绍
  17. php 获取一年中的节假日,PHP开发节假日时间表
  18. 共享单车租用频次分析
  19. 如何在家免费使用知网?
  20. 美女SEO系列六:什么是友情链接?

热门文章

  1. 小孩学创客编程好还是学机器人好
  2. Python源码:根据输入的年份得到对应的生肖(要求年份>=1900)
  3. AttributeError WriteOnlyWorksheet object has no attribute cell
  4. Mary_Morton
  5. 参赛约束 A、B、C、D、E、F、G、H、I、J 共10名学生有可能参加本次计算机竞赛,也可能不参加。
  6. 深入学习卷积神经网络中卷积层和池化层的意义
  7. 周受资离开小米,将加入字节跳动担任 CFO
  8. 微博曾近一度衰落后来又再次兴起的原因分别是什么?未来微博又应该怎么发展呢?
  9. java mssql jdbc_spring配置mssql的jdbc驱动
  10. SQL对数据进行按月统计,或对数据进行按星期统计