发现木马程序

小黑在一个寂寥的午后打算登陆云服务写点程序放上去。偶然瞥到finallshell监控栏cup使用率飙到了100%。如下图所示,回想起几天前云助手给发送的报警信息,意识到自己的服务器应该是被植入了木马程序。经过求助度娘,了解到自己的服务器被人植入了挖矿的木马程序,作为一个程序员,这还能忍?必须盘它。

解决过程

  1. 看到cpu利用率被占满,首先想到是要排查是哪些进程占满了cup。使用top命令查找cup占用率最高的几个进程。可以查到进程的PID、COMMAND等信息。可以发现有个xmrigMiner相关进程占据了cpu利用率的一半。搜了一下xmrigMiner相关信息,了解到这应该是个挖矿程序。
    2. 再利用whereis xmrigMiner命令查找是否有相关的文件夹,很遗憾,并没有。

  2. 利用ls -l /proc/$PID/exe命令根据PID查找文件夹(由于在解决过程中不断试错,中间丢失了一些截图,第一步中PID为554是之前的截图,我们本次的PID为15049,之前的截图丢失了)。

  3. cd到文件夹中,发现确实有很多xmrig开头的文件。用tail命令查看一下xmrigMiner里边的内容,一堆乱码。反正确认都是木马文件了就直接删了。

    还有个config.sh脚本。使用cat命令查看一下,应该是木马程序的执行脚本。删之。

  4. 依次查看目录下其他文件的内容决定是否要删除,最后重启服务器,解决。

参考资料
[1]: https://blog.csdn.net/u012978507/article/details/111867154

2021-10-03 小黑与挖矿木马程序的斗智斗勇相关推荐

  1. 六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法

    查看进程:top 发现一个command为java的程序一直在偷吃我的cpu,逗我玩,我的java怎么可能会偷吃,一开始还真以为是java文件 查看进程命令:top c 一看,是一个在/var/tmp ...

  2. 清理kdevtmpfsi、dbused挖矿木马程序

    一.出现的问题 今天早上一看服务器集群,cpu被占满,Hadoop集群被干爆,然后top一下,看到占用最高的是kdevtmpfsi,另一个节点是dbused占满. 搜了一下,都是挖矿程序. 二.解决思 ...

  3. Go快速、并行的数据库测试 | Gopher Daily (2021.10.03) ʕ◔ϖ◔ʔ

    每日一谚:Gopher can use the same language for errors as everything else. Go技术生态 快速.并行的数据库测试 - https://ke ...

  4. 2021年03月-程序员薪资分布,看看你拖后腿了吗?

    程序员工资是不确定的,要根据程序员的历.能力.工作经验.是否刚毕业.工种,工资是不一样的,还与地域和公司有关,但是总的来说,程序员工资都是很高的,是很多人都羡慕的职位. 那么程序员的薪资到底多高呢,你 ...

  5. 伪装为kswapd0进程的挖矿木马

    一.起因 腾讯云给我发了几封邮件说我的服务器被木马攻击. image.png 我打开服务器监控一看,闲置的服务器CPU飙升. image.png 二.排查 2.1 首先查询CPU占用最多的3个进程 查 ...

  6. python挖矿木马_记一次阿里云被植入挖矿木马的事件

    今天上午同事说我负责的那个模块不工作了,我登录了一下阿里云服务器排查一下,发现服务器运行很慢.(因为你敲的命令字符回传的很快,但是命令的响应时间长,所以是服务器卡了,而不是网络的问题) 使用top查看 ...

  7. 记一次ubuntu虚拟机被挖矿木马攻击的过程

    事由: 今天发现虚拟机有点卡,用 top 查看发现2个未知进程占用大量CPU,遂查,发现被挖矿木马攻击了. 定位 使用 top 查看: top96058 root 20 0 5263372 60460 ...

  8. 记一次服务器清除挖矿木马操作记录

    突然接到服务器告警,一台服务器的CPU已经达到了3000%,不用想,肯定是中了木马了,这完全论为了矿机了.问了一堆公司的安全砖家,都说没的救了,需要重新做系统了,但是和开发对接了下,这台服务器上存在众 ...

  9. 挖矿木马的战略战术分析

    前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨,从最低3000美元上涨至7月份的14000美元,涨幅达300%,巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列.阿里云安全团队通过对云上僵 ...

最新文章

  1. JS中避免命名冲突的三个方法
  2. java 查找 替换_java 查找、替换
  3. MongoDB查询(上)
  4. 大学计算机第三单元测试题及答案,MOOC计算机网络第三单元测验(哈尔滨工业大学)...
  5. 【noip模拟赛3】编码
  6. 计算机安全事故由谁整改,信息安全检查整改方案 整改方案 .doc
  7. 获取,改写style标签里面的内容
  8. 笨方法学Python 习题16
  9. 怎么用python扫描主机_如何调用python-nmap来实现扫描局域网存活主机(代码)
  10. matlab插值拟合案例,matlab插值与拟合
  11. Windows 模拟弱网环境(Network Emulator for Windows Toolkit)
  12. 文心一言,被网友玩坏了哈哈哈哈哈哈哈
  13. 上线群聊功能 阿里搞不赢的社交美团能行吗?
  14. 支持居者有其屋,支持房产税出台与落地。
  15. livp图片批量转jpg转换器无损苹果heic手机照片格式软件mac
  16. 第五季完美童模 公益大使朱春宇现场走秀回顾
  17. 机器人周志_唐骏:机器人时代已如梦初醒
  18. java suspend() 和 resume(),java多線程之(suspend()、resume())
  19. pets 5考试准备
  20. 使用PS制作圆角图片

热门文章

  1. 【邀请函】谷歌云平台 (GCP) 入门培训:核心基础架构
  2. C#中使用DevExpress的Ribbton控件中有关Mac office的风格没有系统自带File菜单问题处理
  3. 天津大学:抑制激光增材制造镍基高温合金热裂纹的新合金设计方法
  4. 如何在不使用手机的前提下恢复/解密/还原加密后的.enc格式华为手机助手备份文件?
  5. 如何找到win10的锁屏推送壁纸
  6. Bentley Systems 收购 Plaxis 以及为业务提供补充的 SoilVision,将岩土工程整合到基础设施项目的数字化工作流中
  7. TriCore AURIX TC397一览
  8. 专栏《乔新亮的CTO成长复盘》读书笔记(管理篇)
  9. 等价代换与罗比他法则在极限求值中的应用
  10. css(css3)实现垂直水平居中的那些事