突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!!

1、首先执行

top

查看具体占用

果然不出所料,中了挖矿病毒,下面开始清除

2、直接杀死进程

kill -9 xxx

发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程

3、开始查找文件

find / -name xmrig

找到文件目录:/root/skypool/xmrig
4、进入看一下文件详情

cd /root/skypool
ls


果然是病毒文件

5、进行删除处理

rm -rf skypool

6、然后杀死进程查看占用

kill -9 xxx


果然xmrig已经清除,但是mysql占用飙升,继续进行定位查看mysql的问题

7、首先重启mysql

service mysqld restart

发现占用依旧快达到100%,没什么作用

8、关闭mysql进程

service mysqld stop

发现mysql进程依旧存在

9、那我们要看下这个进程里面的文件究竟是什么

 lsof -p xxx

查到文件地址在这里/etc/mysql/mysql,对小编来说很明显,因为小编的mysql安装的位置不是这里,那我们详细的看一下

10、进入查看文件结构

cd /etc/mysql
ls


果然是伪装的mysql,那我们也同上面一样,进行删除程序目录,然后杀死进程

11、继续检测完美清除病毒程序CPU占用回归正常

top

到这里小编的清除服务器病毒也就到此结束了,后续小编会继续查找,病毒究竟是怎么进来的,期待真相大白,最后问候一下制造病毒黑客的祖宗十八代!

经过小编的定位及资料翻阅,定位到问题是由于yapi的漏洞导致,木马是通过ypai恶意注册用户然后通过mock接口注入代码引起的。解决的办法是关掉注册功能和mock功能然后将异常的数据清除(用户和mock数据)

记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!相关推荐

  1. Linux服务器清除xmrig挖矿病毒详细教程

    近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现中了xmrig挖矿病毒,并且通过kill 杀掉进程后,还会自动启动.这是由于只是停止了xmrig挖矿病毒的进,没有彻底删除病毒文件,导致会病毒会自 ...

  2. 关于解决伪装成svchost.exe的病毒的清除(界面不断失去焦点,不断播放单击音效)

    刚装完win7系统,在下载必要应用软件的时候,不知道哪里混进来了病毒程序,导致了主屏幕不断失去焦点,窗口不断切回,打开任何的应用程序,几秒后就会切回到主屏幕.之后卡成狗的悲惨状况,使用360等杀毒软件 ...

  3. 对一个伪装成微信的加固病毒的分析

    前不久,网上爆出一个伪装成微信的病毒,好久木有分析病毒了,于是拿来练下手. 该病毒安装后的图标如下图所示: 打开该应用后,会提示激活管理员器: 激活后要求用户添加银行卡信息,包括姓名,身份证号,手机号 ...

  4. Watch out!伪装成PDF文件的病毒!

    PDF有毒?没错.近期,一款新变种恶意程序尝试将自己隐藏为一个PDF文档,当用户点击PDF快捷方式时,这款恶意程序即自动激活,感染用户的计算机.更危险的是,很多第三方杀毒软件并不能识别该变种病毒. 在 ...

  5. 上周病毒事件回顾:伪装成文件夹图标的U盘病毒危害严重

    一周病毒事件回顾:伪装成文件夹图标的U盘病毒危害严重(2010.7.4-7.10) 据金山毒霸云安全中心统计,上周发现感染病毒的机器数为106万台,较前一周略有下降.上周危害较严重的病毒为伪装成文件夹 ...

  6. “僵尸之手”:一种伪装成正常应用的恶意病毒(病毒防范方法解说)

    "僵尸之手":一种伪装成正常应用的恶意病毒(病毒防范方法解说) 最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒"僵尸之手"--一种伪装成正常应用,并通 ...

  7. ## 记录一次简单的xmrig挖矿程序清理

    记录一次简单的xmrig挖矿程序清理 晚上闲着没事逛逛网站无意间发现cpu居然一直处于99.9的状态. 5.9 linux服务器,2核4G contos 7 小白一枚,还在纳闷是什么东西占了这么多的资 ...

  8. 记录ECS Linux系统出现xmrig挖矿程序

    记录ECS Linux系统出现xmrig挖矿程序 最近收到阿里云检测服务器出现了紧急安全事件:挖矿程序,炸一看,额...... ,吓了一跳,这是哪里冒出来的,结果看到如下图所示,开始进行了排查. 原因 ...

  9. 记服务器中xmrig病毒处理

    xmrig CPU 占有率很高 不是docker 的版本 在处理病毒的时候,我找了很多文章有一些是属于docker版本下的 不确定是否能一并处理. 查看进程: 使用top 获取xmrig进程ID ll ...

最新文章

  1. 烂泥:php5.6源码安装及php-fpm配置与nginx集成
  2. 在没有域环境的情况下配置完整安装的SharePoint2010和2013
  3. python os模块方法_python os模块方法总结
  4. SQLServer AlwaysOn在阿里云的前世今生
  5. Exchange Reporter Plus概述
  6. oracle增量脚本(记录)创建触发器监控对一张表的增删改
  7. 迪士尼收购福克斯,传媒巨头江山瓦解?
  8. R语言学习历程回顾总结
  9. linux下运行testng,TestNG执行程序
  10. 【onnx】——since it‘s not constant, please try to make things (e.g., kernel size) static if possible
  11. 双u服务器装win7系统安装,u深度一键u盘装原版win7 安装系统详细使用教程
  12. VUE中的img的:src动态加载图片的问题,require也不能随便用
  13. win7或win2008系统中,出现【已停止工作,联机检查解决方案并关闭该程序,关闭程序】解决方法!
  14. 汽车CAN通信基础知识-Java之Socket通信实战
  15. 这篇文章来自我的微信朋友圈,并不特别好玩,但可以给创业者补点财务知识
  16. 使用SketchUp制作球体的方法(图文教程)
  17. FastDFS-6.06安装(Centos 7)
  18. 微信新功能,拍一拍的背后,暗藏着商机
  19. 后端一次性传了10w条数据,前端该如何处理?—— 面试高频
  20. Postgresql中的large object

热门文章

  1. html小时分钟秒选择器,时间选择器.html
  2. quartz储存方式之JDBC JobStoreTX
  3. Parallels Desktop 16 下载地址 新增功能
  4. 2019最新在windows10下 安装docker 使用kitematic并且配置nginx+php环境
  5. 推荐一个docker GUI工具Kitematic
  6. php繁体转为简体的函数,繁体中文转换为简体中文的PHP函数_php基础
  7. jmeter接口测试,正则表达式提取token,传入下个需要登录的接口实现自动登录
  8. Python计算21点扑克牌概率,判断是否要牌
  9. 让人叹为观止的寄生虫故事
  10. 假期小长假该如何玩?用 Python 分析元旦旅游热门城市