ubuntu清理挖矿病毒
0 序言
我之前搭建的hadoop用于测试,直接使用了8088和9870端口,没有放入docker,从而没有端口映射。于是,就被不法之徒盯上了,hadoop被提交了很多job,使得系统被感染了挖矿病毒,在前几天阿里云站内消息告知我的轻量级服务器有挖矿行为时,我才着手处理此事。
1 清理挖矿程序的基本步骤
先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。
所谓后门,我检查了路由条目和定时任务:
- 是否有多出来的定时任务(非自己加入的定时任务)?
- 是否有多出来的路由条目?
- 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
说实在的,我一开始就检查了前两条,这也为后来挖矿程序的死灰复燃埋下了伏笔。这样子,我的清理工作也变成了两轮。
2 清理工作记录
我参考了这位博主的博文:
Linux挖矿病毒清理流程https://blog.csdn.net/ouxx2009/article/details/123479424
2.1 先KILL挖矿进程(翻车)
先用top查看cpu占用率大的进程的PID,如图所示:
前一段被挡掉了,但是从第二条命令systemctl status 16760可知,该进程的PID是16760。先键入chmod 600 /run/systemd/transient/session-10938.scope降低权限,然后用rm命令删除。
接着从下往上kill进程:
kill -9 16760
kill -9 6632
2.2 清除定时任务(翻车)
喜闻乐见,2min后这个进程又起来,哈哈。于是我就去检查了定时任务,使用crontab -e命令发现多了三条没见过的定时任务,直接手动删除即可,然后我等了10min多看他还没起来,就安心睡觉去了。
第二天起来,我看了一眼,挖矿进程没起来,我还以为这就结束了。出乎意料,几天后站内信告知我仍有挖矿服务,挖矿进程又起来了!
2.3 排查路由条目和集群其他云服务器(DONE)
我查看了控制台的监控图表,发现确实是过了几天才起来的,如图所示:
我提交了工单,阿里云的员工替我摸查了一遍,建议我摸查路由表。
于是我按照建议摸查了路由表,发现并没有多出来的路由条目,只有原来指向集群中另外两台腾讯云的路由,接着我开始摸查腾讯云的那两台服务器。结果发现那两台确实有很大可能是跳板机,我查看了那两台服务器的定时任务,发现也有多出来的定时任务,但用top命令查看了却没有进程。定时任务我全部清理了。然后又按照原顺序把挖矿进程又kill了一遍,暂时就到这里吧。
3 后续
按照,上面这张图来看,我不知道还能再太平多久,我希望这个博客不要再有后续了,哈哈啊哈。
ubuntu清理挖矿病毒相关推荐
- centos系统清理挖矿病毒kthreaddk
服务器系统是centos, cpu使用超100%,找到占用cpu的进程kthreaddk, 网上一查原来是挖矿病毒. 分析解决: 找到kthreaddk进程号,kill -9 xxx , 杀掉后马上又 ...
- Ubuntu清除挖矿病毒的一次记录
第一次遇到服务器被别人入侵挖矿,在专业人员的帮助下找到并清除了挖矿病毒.这篇博客只是我的一个记录,不一定适用所有的情况,不过还是希望能给大家一定帮助. 发现问题:有程序使用了大量的GPU资源,询问了账 ...
- 【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
文章目录 ssh暴力破解 0x00 前言 0x01 应急场景 0x02 日志分析 系统账号情况 /var/log/secure /var/log/auth.log 0x03 处理措施 0x04 我的实 ...
- linux实战清理挖矿病毒kthreaddi
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改.需要借助其他的工具. 安装busybox 系 ...
- CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&a ...
- Centos/Debian 占用CPU100%挖矿病毒清理
Cetnos/Debian 占用CPU100%挖矿病毒清理 ①top命令查看病毒进程,现在它一般由十位数随机字符串组成 找到进程ID,例如7538,执行: systemctl status 7538 ...
- Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
- linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录 起因 清除过程 确定病因 开始清除 复发 定时任务 update.sh分析 修复 样本分析:networkservice文件的分析 分析准备 功能分析 sysguard 样本下载 *本文中涉 ...
- python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
一.关于powershell挖矿病毒 在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU, 通过百度 ...
最新文章
- json_encode 中文不乱码
- 互联网产品mysql数据库设计总结
- Latex 实时排版工具
- java实现遍历树形菜单方法——service层
- QT中封装的IP地址的widget
- cursor:hand与cursor:pointer的区别介绍
- .jar中没有主清单属性_如何在springboot中使用PageHelper分页插件
- 信息学奥赛一本通 1001:Hello,World | OpenJudge NOI 1.1 01:Hello, World
- 互联网公司忽悠员工的黑话,套路太深了。
- 【iOS-Cocos2d游戏开发之八】开启高清(960*640)模式问题与解答、图片适配以及设置iphone横竖屏...
- 解决ubuntu20.04虚拟机无法上网的问题
- 高效记忆/形象记忆(08)110数字编码表 21-30
- 阿里云Dataworks平台应用
- 步进电机 高速光耦_高速光耦有哪些_高速光耦如何选型 - 全文
- Stratified k-foldTimeSeriesSplit
- 电脑蓝牙无法搜索到其它蓝牙设备
- 软件设计师-1.计算机系统知识
- 生物化学 电阻抗成像OpenEIT,Dbar算法,数据集等(暂记)
- 《信号与系统》——连续傅里叶变换与拉布拉斯变换专题
- Office-001 Word中如何插入章节Chapter?