Linux中处置挖矿病毒样本演示
一、病毒特征
1、top 查看cup使用率
CUP使用率极高,也可以看到它的PID
2、查看网络连接数
netstat -anpt | grep tcp
连接数较高。
二、处置
1、kill pid
尝试删除可疑进程。
可以删除,但是他还是会自动启动
2、计划任务或者其他能够自启动的位置
crontab -l #查看计划任务列表。
crontab -e #进入后删除计划任务
kill #杀死进程
3、计划任务清除之后,他还是会自动写入。
4、检查进程
删除
查到这个可疑的进程。
ls -l /proc/72678/exe
找出它文件所在目录
进去之后使用 ll -all 查看,这是可疑程序的:
这个是正常程序的:
这几个进程异常进程的都是一样。
``````好像也没办法处理
特点:
1、删除计划任务,1分钟后计划任务会被重写
2、所有进程结束之后都会被计划任务启动,也就是说它执行的来源都是计划任务的文件
3、删除计划任务下所对应的文件。
方法一:
删除计划任务下的文件
让木马无法在自启动,并结束这两个进程
系统回复正常。
这是系统会收到一个邮件,汇报的是计划任务执行失败的提示,是因为我们将文件删除,计划任务无法执行。接下来就清空计划任务。
方法二:
通过PID查看对应的服务项
systemctl status 1525 #目标
systemctl status 1546 #目标文件
尝试删除目标文件和计划任务,因为它的周期是1分钟,所以在删除时候速度要快
[root@localhost ~]#
kill 1656 1732 && rm -rf /usr/sbin/CROND /etc/bash_completion.d/hri0j2 && crontab -r
#删除进程 #删除木马文件 #删除计划任务
top检测进程正常!
Linux中处置挖矿病毒样本演示相关推荐
- linux 中了挖矿病毒
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0 ...
- 服务器中了挖矿病毒的检测及删除方法
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
- 服务器的安全应该从哪些角度考虑-中了挖矿病毒
我们有客户服务器区域中了挖矿病毒, 这个应该怎么防护,服务器的安全应该从哪些角度考虑 ********* 这个东西比较复杂,关键就是怎么感染的挖矿病毒,首先你要把原始的这个边界上的那个防火墙检查一下, ...
- 服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作. 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢. 现将清除挖矿病 ...
- jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可! 一, 定位问题 1.发现cpu异常,查看对应的进程信息 [root@versionlib ...
- 如何快速发现linux系统有挖矿病毒
使用系统监控工具:可以使用系统自带的top.htop等工具或第三方监控工具,查看系统的CPU.内存.网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒. 查看进程信息:使用ps命令查看系统的进 ...
- Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
环景: Ubuntu16.04.06 LTS 问题描述: -bash 进程占用cpu很高,别的进程开启运行过后就被它killed,-bash一直占用50%的CPU,服务器被拉的嗷嗷叫 解决方案: 1. ...
- 阿里云服务器中招挖矿病毒XMrig miner解决方法
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用.今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu ...
- linux实战清理挖矿病毒kthreaddi
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改.需要借助其他的工具. 安装busybox 系 ...
最新文章
- [Dnode]基于Node.js给浏览器提供异步远程方法调用
- python读取ttf_python解析字体反爬
- Python入门--基本输入输出
- 表正在被别的用户或进程使用_linux内核对进程的管理分为两个方面
- 特斯拉接连出闹剧?一次比一次渗人...
- mysql setnull_1、Mysql无法创建外键的原因 2、MySql 外键约束 之CASCADE、SET NULL、RESTRICT、NO ACTION分析和作用...
- 【学习总结】Git学习-参考廖雪峰老师教程三-创建版本库
- 实训作业 4(界面2)
- Kolmogorov复杂性简介(转)
- 回归分析的五个基本假设
- 那些惊艳的算法—时间轮任务调度(sunwind整理)
- 利用OPNET进行网络单播(一服务器多客户端)仿真的设计、配置及注意点
- Pygame实战:家里的小孩数学算数能力很差嘛?别慌—这款“巧算24点小游戏”等你来玩,管用。
- 负数在计算机中到底是如何表示的
- Android 学习(一)
- “Mac OS X“录屏幕视频并转成gif
- KCon 2017兵器谱招募 亮出你的安全神兵
- 开发落网电台windows phone 8应用的计划(2)
- 3D建模师入行之初,就业是角色建模好还是场景建模好?
- 个人免签支付接口系统搭建源码多种方式