挖矿病毒伪装TOP命令占用CPU问题排查
场景
前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用:
到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
yum -y install epel-releaseyum -y install htop
装好一看,cpu被占的满满登登啊:
占用的进程是top,但是明明没有top呀,先不管,重启下再说。重启之前,从一台正常的机器上scp过来了一份top命令。
重启后尝试使用top命令,依然无法使用,查看/usr/bin下之前scp来的top又没了,被删掉了,到这里已经意识到是中毒了,此top非彼top,一定是病毒伪装的。接下来就是排毒过程。
排查过程
首先尝试kill掉进程,无效,刚kill掉又会重新启动,那可能是有定时任务重启的;
查看定时任务:
果然这里藏了个top,先把定时任务停掉,然后删掉/lib32下的top,kill掉进程;再次htop,发现cpu正常了,过段时间依然正常
检查开机启动项,发现多了最后一行,把这行删掉:
顺着路径找过去,发现同一时间新增了几个文件:
查看正常的机器上边没有这些文件,把这些文件下载到windows上,用记事本打开直接报病毒。于是取消操作限制,全部删掉检查定时任务,有没有可以的东西,发现有个pwnrig的任务,不知道什么东西,关掉它
重启
重启后一切正常了。
主机心跳也回来了,组件也能正常启动了:
分析
几台机器都弄完之后,就百度google一下还没有遇到过伪装top命令的现象,百度了下关键字"pwnrig",发现是个挖矿病毒:
和文章中描述的还是有所区别的,这次遇到的是会把top命令在开机启动的时候删除掉,并用病毒程序伪装为top,一方面起干扰作用,一方面阻止你查看cup信息。造成的现象和影响就是:top命令占满CPU,服务器无法正常运行。
总结
导致这个问题的根本原因还是安全控制没做好,为了偷个懒,把暴露在公网的端口没做IP验证,并且因为是内网的服务器,ssh密码设置过于简单,导致了这次问题。所以对公网端口,一定要做限制以及强验证,最大限度的减小被攻击的可能,并且对于常用端口更换为其他端口,这样也能减小被扫到的概率,减小中毒风险。
挖矿病毒伪装TOP命令占用CPU问题排查相关推荐
- Linux——top命令查看cpu利用率超过100%
top命令显示的是程序占用的cpu占用率总和,也就是说如果4核cpu那么cpu最高占用率可达400%,top里显示的是把所有使用率加起来. 运行top后按大键盘1,可以显示每个cpu的使用率 查看一下 ...
- linux cpu使用率1200%,linux下用top命令查看cpu利用率超过100%
今天跑了一个非常耗时的批量插入操作..通过top命令查看cpu以及内存的使用的时候,cpu的时候查过了120%..以前没注意..通过在top的情况下按大键盘的1,查看的cpu的核数为4核. 通过网上查 ...
- linux的top命令cpu,在Linux系统下使用top命令查看CPU使用情况
在Linux系统下,使用top命令查看CPU使用情况. %Cpu(s): 0.3 us, 0.1 sy, 0.0 ni, 99.6 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st ...
- shell脚本中使用top命令查看cpu或内存情况的技巧
在嵌入式系统在做高低温试验的过程中,需要实时记录多个信息,用于分析在故障时刻的数据,辅助判断故障可能产生的原因,如系统重新启动前内存.cpu的占用情况,温度的上升情况等等,今天仅分析cpu和内存的数据 ...
- Linux top命令的cpu使用率和内存使用率
文章目录 前言 一.cpu使用率 1.1 top简介 1.2 cpu使用率的来源 1.3 内核相关源码 二.内存使用率 2.1 总内存有关的数据 2.2 进程使用内存有关的数据 2.3 内存使用率的来 ...
- SSH 用 top 命令查看 CPU 使用率
在系统维护的过程中,随时可能有需要查看 CPU 使用率,并根据相应信息分析系统状况的需要.在 CentOS 中,可以通过 top 命令来查看 CPU 使用状况.运行 top 命令后,CPU 使用状态会 ...
- ImageMagick的convert命令占用cpu过高
有台旧机器上跑了个裁图的程序ImageMagick,迁移到新机器之后居然跑不动,情况如下: 新机器: DELL R710 操作系统版本:6.2 ImageMagick版本:6.5.4 convert占 ...
- top命令详析及排查问题使用演示
1. top基本使用 top命令运行图 第一行:基本信息 第二行:任务信息 第三行:CPU使用情况 第四行:物理内存使用情况 buff/cache: buffers 和 cache 都是内存中存放的数 ...
- golang runtime.findrunnable epoll_wait lock 占用CPU 过多排查
问题现象: 对于测试报告,我们一般应当包含:测试对比环境的软件架构.输入.可视化的对比结果.原因分析&总结 从go 自带的profile 图 只能看出 如题所示,对于问题排查,我们从不吝啬更多 ...
最新文章
- 阿里巴巴JAVA面试真题(三)
- UIPageViewController教程
- MVC中执行成功弹出对话框
- ActiveX (.ocx)的写法,及在IE里调用
- matplotlib安装
- e0312 不存在用户定义的_VistaPro创建自定义变量
- 调用支付宝PHP接口API实现在线即时支付功能(UTF-8编码)
- ajax怎么在html与php中使用,如何使用ajax和php将数据从数据库表放到html表
- 自己建服务器 语音盒子_使用Mumble搭建私人语音服务器
- java线程池1001java线程池_深入浅出Java(Android )线程池ThreadPoolExecutor
- 安装sphinx的php扩展,安装php扩展sphinx
- 【晨读】二次验收--I Can
- Jquery中$与$.fn的区别
- 数据质量六大评价标准
- R语言回归及混合效应模型及贝叶斯实现
- 【Mark】转正述职答辩
- 什么是为AI另辟蹊径的“小”数据?
- 蓝桥杯-标题:史丰收速算
- 赞 ( 84 ) 微信好友 新浪微博 QQ空间 180 SSD故事会(14):怕TLC因为你不了解!【转】...
- android中出现javax.net.ssl.SSLPeerUnverifiedException