vb.net服务器启动后cpu占用了70_记一次服务器被异常程序占用的解决过程(怀疑黑客攻击)...
最近在跑实验,但是突然发现程序运行变慢,然后top命令查看程序运行情况,发现有异常进程,名字叫 bash,占用 2400% CPU计算资源。
刚开始怀疑是挖矿程序,因实验室网络IP为教育网公网,怀疑被攻击,网上查了些资料,并参考了下面博客:
记一次服务器被挖矿程序占用的解决过程_dabao87的博客-CSDN博客_服务器被挖矿blog.csdn.net
通过搜索这个进程名字,发现异常文件 /var/tmp/.bash/bash
find / -name bash打开这个脚本,发现脚本语言如下:
#!/bin/bash
cd -- /var/tmp/.bash
mkdir -- .bash
cp -f -- x86_64 .bash/bash
./.bash/bash -k -c
rm -rf .bash
这个分明是不断消耗CPU资源,不断递归创建删除文件的恶意脚本,将脚本文件删除之后,用kill命令将程序id杀死后计算机恢复。因为前期实验室密码设置的过于简单,重新修改了密码,提醒大家如果服务器IP是公网IP要谨慎一些。
事情还没完,太讨厌了
更新,在下午解决问题之后以为服务器好了,但是晚上又出现了新的 bash进程,在咨询了遇到同样问题的老哥 @yr15 之后,得知有可能被设置了定时任务,cron定时启动bash命令。
可以看到这个脚本是2020年10月20号写入的。把他删了希望完事了。太讨厌了!!
再更,解决后第二天它又出现了,没错是又出现了~~,然后差点想重装系统,最后试了一下将定时服务关闭,将进程杀死。
停止定时任务命令:
service crond stop可能是定时任务里面保存了那个脚本的相关东西,现在好像一天没有出现了。
再更:
病毒换了策略,它建立了一个tcp连接来入侵我们电脑,但是为什么会这样还没整清楚
netstat -anp | grep bash
tcp 0 0 ***.***.91.12:35910 51.79.73.21:80 ESTABLISHED 25782/-bash
这个ip 51.79.73.21:80 是加拿大的。
开启了防火墙:
root@xuan:~# sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
root@xuan:~# sudo ufw deny 35910
Rule added
Rule added (v6)
root@xuan:~# sudo ufw status
Status: activeTo Action From
-- ------ ----
35910 DENY Anywhere
35910 (v6) DENY Anywhere (v6) 禁止那个ip tcp连接
sudo ufw deny from 51.79.73.21root@xuan:~# netstat -anp | grep bash
tcp 0 0 **.30..7*9:36024 51.79.73.21:80 ESTABLISHED 810/-bash
lsof -p 810
->eugen.whitehat.at:http (ESTABLISHED)
vb.net服务器启动后cpu占用了70_记一次服务器被异常程序占用的解决过程(怀疑黑客攻击)...相关推荐
- vb.net服务器启动后cpu占用了70_服务器如何区分攻击类型?
作为服务器的管理者,每当服务器宕机无法访问时,就需要检查故障,尽快使服务器恢复运行.造成服务器无法访问的原因有很多,简单一点的系统故障,一般重启一就恢复,而复杂一点的比如系统或应用程序崩溃,就要争取备 ...
- 知识分享 | mysql服务器启动后,为啥有mysqld_safe和mysqld 2个进程?
在mysql服务器启动后,有2个进程mysqld_safe和mysqld,这是为啥? 如下: [root@ethanyang bin]# ps -ef | grep mysqld root 6488 ...
- Exchange 2007服务器启动后,Information Store和System Attendant服务不能自动启动
Exchange 2007服务器启动后,Information Store和System Attendant服务不能自动启动 SA和Information服务不会自动启动,手动启动正常 1) 在Exc ...
- linux中samba启动不了,Linux_RHEL5中不用关闭SELinux而成功启动Samba,RHEL5中的samba服务器启动后,能 - phpStudy...
RHEL5中不用关闭SELinux而成功启动Samba RHEL5中的samba服务器启动后,能看到共享目录,但是不能访问共享目录,告知权限不够.此时可以通过如下命令: tail /var/log/m ...
- 关于mysql本地计算机上的MySQL服务启动后停止。某些服务在未由其他服务或程序使用时将自动停止问题
背景:由于某些原因,服务器需要重启一下,结果重启完就出现这个mysql本地计算机上的MySQL服务启动后停止.某些服务在未由其他服务或程序使用时将自动停止问题,一想到平时偷懒没有做数据库自动备份,当时 ...
- 本地计算机上的OracleOraDb11g_home1TNSListener服务启动后停止。某些服务在未由其它服务或程序使用时将自动停止。
安装好Oracle服务器之后,接连使用几天都没有问题,今天发现Oracle没有连接上,报"ORA-12541: TNS: 无监听程序",发现是监听服务没有启动,于是开启,报错了: ...
- 解决“本地计算机上的**服务启动后停止。某些服务在未由其他服务或程序使用时将自动停止”
最近在了解PostgreSQL相关,本地安装了 PostgreSQL服务,创建一个函数通过pgAdmin进行调试,给函数设置断点时,提示 未启用调试器插件.请将插件添加到 shared_preload ...
- mysql 8 启动失败(本地计算机上的mysql服务启动后停止。某些服务再未由其他服务或程序使用时将自动停止)
注:该类问题可能有多种情况造成的,所以大家先看看mysql的日志,了解报错的原因再着手解决服务启动不了的问题吧 mysql 8.0.20 启动失败,失败提示信息:本地计算机上的mysql服务启动后停止 ...
- 本地计算机上的mysql服务启动后停止,某些服务在未由其他服务或程序使用时将自动停止。
问题:在win10服务下手动启动Mysql57(自定义的mysql服务名)报错:本地计算机上的mysql服务启动后停止,某些服务在未由其他服务或程序使用时将自动停止. 我的解决方案: 1.以管理员身份 ...
最新文章
- C++自学随笔(2)
- 【C语言探索之旅】 第一部分第六课:条件表达式
- jQuery 遍历函数
- python 3 字典排序_Python学习教程实用技法:通过公共键对字典列表排序—itemgetter...
- sql server常用函数
- python traceback 丢失_基于python traceback实现异常的获取与处理
- Java之品优购部署_day01(8)
- TokenInsight:反映区块链行业整体表现的TI指数较昨日同期上涨0.41%
- 计算机维修主板,电脑维修|干货收好!自己就能修主板
- 联想云计算机终端,联想云桌面
- k60单片机全称 恩智浦_k60 飞思卡尔k60芯片的串口查询接收例子源程序,曾用于 比赛 SCM 单片机开发 240万源代码下载- www.pudn.com...
- editplus3 关联鼠标右键
- 斗鱼password加密参数调试生成案例
- EasyClick 原生UI教程扫盲篇
- 高速列车运行调度控制仿真软件SimTrain
- java+毕业设计+进销存管理系统+源码+论文.rar
- 已经出狱的李一男和即将出狱的王欣,还能赶上这个时代吗?
- I'm coming now.
- CPU选择intel还是amd
- 利用Python做excel文本合并(根据左侧单元格,快速合并右侧单元格内容)
热门文章
- 解决:bash: vim: command not found、docker 容器不识别 vi / vim 、docker 容器中安装 vim
- 地址解析协议 (ARP) 是什么
- ObjectArx创建指定块
- Centos7 安装OpenTSDB
- [转载] 全方位提升网站打开速度:前端、后端、新的技术
- windows安装rsync
- 网络上常用的一些网站
- FetchType与FetchMode的区别
- struts2--java.lang.IllegalAccessException: Class ognl.OgnlRuntime can not access a member of
- 面试官问我:平常如何对你的 Java 程序进行调优?