记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!
突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!!
1、首先执行
top
查看具体占用
果然不出所料,中了挖矿病毒,下面开始清除
2、直接杀死进程
kill -9 xxx
发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程
3、开始查找文件
find / -name xmrig
找到文件目录:/root/skypool/xmrig
4、进入看一下文件详情
cd /root/skypool
ls
果然是病毒文件
5、进行删除处理
rm -rf skypool
6、然后杀死进程查看占用
kill -9 xxx
果然xmrig已经清除,但是mysql占用飙升,继续进行定位查看mysql的问题
7、首先重启mysql
service mysqld restart
发现占用依旧快达到100%,没什么作用
8、关闭mysql进程
service mysqld stop
发现mysql进程依旧存在
9、那我们要看下这个进程里面的文件究竟是什么
lsof -p xxx
查到文件地址在这里/etc/mysql/mysql,对小编来说很明显,因为小编的mysql安装的位置不是这里,那我们详细的看一下
10、进入查看文件结构
cd /etc/mysql
ls
果然是伪装的mysql,那我们也同上面一样,进行删除程序目录,然后杀死进程
11、继续检测完美清除病毒程序CPU占用回归正常
top
到这里小编的清除服务器病毒也就到此结束了,后续小编会继续查找,病毒究竟是怎么进来的,期待真相大白,最后问候一下制造病毒黑客的祖宗十八代!
经过小编的定位及资料翻阅,定位到问题是由于yapi的漏洞导致,木马是通过ypai恶意注册用户然后通过mock接口注入代码引起的。解决的办法是关掉注册功能和mock功能然后将异常的数据清除(用户和mock数据)
记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!相关推荐
- Linux服务器清除xmrig挖矿病毒详细教程
近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现中了xmrig挖矿病毒,并且通过kill 杀掉进程后,还会自动启动.这是由于只是停止了xmrig挖矿病毒的进,没有彻底删除病毒文件,导致会病毒会自 ...
- 关于解决伪装成svchost.exe的病毒的清除(界面不断失去焦点,不断播放单击音效)
刚装完win7系统,在下载必要应用软件的时候,不知道哪里混进来了病毒程序,导致了主屏幕不断失去焦点,窗口不断切回,打开任何的应用程序,几秒后就会切回到主屏幕.之后卡成狗的悲惨状况,使用360等杀毒软件 ...
- 对一个伪装成微信的加固病毒的分析
前不久,网上爆出一个伪装成微信的病毒,好久木有分析病毒了,于是拿来练下手. 该病毒安装后的图标如下图所示: 打开该应用后,会提示激活管理员器: 激活后要求用户添加银行卡信息,包括姓名,身份证号,手机号 ...
- Watch out!伪装成PDF文件的病毒!
PDF有毒?没错.近期,一款新变种恶意程序尝试将自己隐藏为一个PDF文档,当用户点击PDF快捷方式时,这款恶意程序即自动激活,感染用户的计算机.更危险的是,很多第三方杀毒软件并不能识别该变种病毒. 在 ...
- 上周病毒事件回顾:伪装成文件夹图标的U盘病毒危害严重
一周病毒事件回顾:伪装成文件夹图标的U盘病毒危害严重(2010.7.4-7.10) 据金山毒霸云安全中心统计,上周发现感染病毒的机器数为106万台,较前一周略有下降.上周危害较严重的病毒为伪装成文件夹 ...
- “僵尸之手”:一种伪装成正常应用的恶意病毒(病毒防范方法解说)
"僵尸之手":一种伪装成正常应用的恶意病毒(病毒防范方法解说) 最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒"僵尸之手"--一种伪装成正常应用,并通 ...
- ## 记录一次简单的xmrig挖矿程序清理
记录一次简单的xmrig挖矿程序清理 晚上闲着没事逛逛网站无意间发现cpu居然一直处于99.9的状态. 5.9 linux服务器,2核4G contos 7 小白一枚,还在纳闷是什么东西占了这么多的资 ...
- 记录ECS Linux系统出现xmrig挖矿程序
记录ECS Linux系统出现xmrig挖矿程序 最近收到阿里云检测服务器出现了紧急安全事件:挖矿程序,炸一看,额...... ,吓了一跳,这是哪里冒出来的,结果看到如下图所示,开始进行了排查. 原因 ...
- 记服务器中xmrig病毒处理
xmrig CPU 占有率很高 不是docker 的版本 在处理病毒的时候,我找了很多文章有一些是属于docker版本下的 不确定是否能一并处理. 查看进程: 使用top 获取xmrig进程ID ll ...
最新文章
- 烂泥:php5.6源码安装及php-fpm配置与nginx集成
- 在没有域环境的情况下配置完整安装的SharePoint2010和2013
- python os模块方法_python os模块方法总结
- SQLServer AlwaysOn在阿里云的前世今生
- Exchange Reporter Plus概述
- oracle增量脚本(记录)创建触发器监控对一张表的增删改
- 迪士尼收购福克斯,传媒巨头江山瓦解?
- R语言学习历程回顾总结
- linux下运行testng,TestNG执行程序
- 【onnx】——since it‘s not constant, please try to make things (e.g., kernel size) static if possible
- 双u服务器装win7系统安装,u深度一键u盘装原版win7 安装系统详细使用教程
- VUE中的img的:src动态加载图片的问题,require也不能随便用
- win7或win2008系统中,出现【已停止工作,联机检查解决方案并关闭该程序,关闭程序】解决方法!
- 汽车CAN通信基础知识-Java之Socket通信实战
- 这篇文章来自我的微信朋友圈,并不特别好玩,但可以给创业者补点财务知识
- 使用SketchUp制作球体的方法(图文教程)
- FastDFS-6.06安装(Centos 7)
- 微信新功能,拍一拍的背后,暗藏着商机
- 后端一次性传了10w条数据,前端该如何处理?—— 面试高频
- Postgresql中的large object
热门文章
- html小时分钟秒选择器,时间选择器.html
- quartz储存方式之JDBC JobStoreTX
- Parallels Desktop 16 下载地址 新增功能
- 2019最新在windows10下 安装docker 使用kitematic并且配置nginx+php环境
- 推荐一个docker GUI工具Kitematic
- php繁体转为简体的函数,繁体中文转换为简体中文的PHP函数_php基础
- jmeter接口测试,正则表达式提取token,传入下个需要登录的接口实现自动登录
- Python计算21点扑克牌概率,判断是否要牌
- 让人叹为观止的寄生虫故事
- 假期小长假该如何玩?用 Python 分析元旦旅游热门城市