故事背景

最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。

安装busybox

系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。

> busybox top

终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。

清理门罗币挖矿木马

常规方式先试试

> kill -9 6282

过一会又起来了,说明有守护进程

检查系统中的定时任务

> crontab -l
0 * * * * /tmp/sXsdc

发现一个这,一看就不是什么好东西,直接清理crontab,crontab -e dd :wq!一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。

去内核数据目录找找看

> ls -al ll  /proc/6282

6282是刚才那个挖矿进程

原来在 tmp下面有文章 ,但是被 deleted,不管先去看看

> /tmp/.dHyUxCd/
> ls -al

config.json 里面都是一些配置,里面找到一个美国的IP

清理病毒

  • 删除/tmp/.dHyUxCd/目录
  • kill -9 挖矿进程pid
  • reboot重启

总结

本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。先把docker停掉(后面抽空Docker启用TLS进行安全配置),redis密码强度加高一点。

原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
微信公众号:入门小站

linux实战清理挖矿病毒kthreaddi相关推荐

  1. ubuntu清理挖矿病毒

    0 序言 我之前搭建的hadoop用于测试,直接使用了8088和9870端口,没有放入docker,从而没有端口映射.于是,就被不法之徒盯上了,hadoop被提交了很多job,使得系统被感染了挖矿病毒 ...

  2. 【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒

    文章目录 ssh暴力破解 0x00 前言 0x01 应急场景 0x02 日志分析 系统账号情况 /var/log/secure /var/log/auth.log 0x03 处理措施 0x04 我的实 ...

  3. 如何快速发现linux系统有挖矿病毒

    使用系统监控工具:可以使用系统自带的top.htop等工具或第三方监控工具,查看系统的CPU.内存.网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒. 查看进程信息:使用ps命令查看系统的进 ...

  4. linux服务器中毒挖矿,Linux服务器中挖矿病毒 二

    标签: 使用top命令可以看见CPU 100%,但是进程中居然cpu占用率都很低. 使用ps -aux --sort=-pcpu|head -10 这现在露出了原形.发现一个占用几百的进程 Kmmcd ...

  5. centos系统清理挖矿病毒kthreaddk

    服务器系统是centos, cpu使用超100%,找到占用cpu的进程kthreaddk, 网上一查原来是挖矿病毒. 分析解决: 找到kthreaddk进程号,kill -9 xxx , 杀掉后马上又 ...

  6. linux 中了挖矿病毒

    文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0 ...

  7. CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web

    特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&a ...

  8. Linux服务器.Xr1挖矿病毒解决

    1. 发现问题 开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程 2. 问题定位 2.1 通过top命令查看, 发现 xr文件, C ...

  9. Linux中处置挖矿病毒样本演示

    一.病毒特征 1.top  查看cup使用率 CUP使用率极高,也可以看到它的PID 2.查看网络连接数 netstat -anpt | grep tcp 连接数较高. 二.处置 1.kill pid ...

最新文章

  1. [Google Guava] 1.2-前置条件
  2. CSAPP实验二进制炸弹
  3. 解决方法|ESP8266环境搭建出现 usrbinenv bashr :没有那个文件或目录
  4. 删零c语言,C语言(请不要删)
  5. jQuery选择器之id选择器
  6. pycharm 设置为git默认编辑器_pycharm配置使用git
  7. Google地图接口API之Google地图 API 参考手册(七)
  8. (1)算法设计与分析_算法设计思路
  9. 20210729-Codeforces Round #735 (Div. 2)
  10. 阿里前端智能化技术探索和未来思考
  11. 舰船知识科普-有图有真相(附PPT)
  12. 【2022年度书法鉴赏网课答案】
  13. vue实现斑马线进度条
  14. 这才是纯爷们!!!~~~~~~
  15. 带有示例的Python date weekday()方法
  16. HyperLedger Fabric 学习思路分享
  17. CVPR2014结果出来了,小伙伴们赶紧来啊~~~~
  18. 2020年高级Java程序员面试题汇总,含答案总结
  19. Qt_Opencv安装
  20. 推荐几款工作效率提升工具

热门文章

  1. 利用python对excel文件进行操作_数据处理-对Excel文件读取和操作和存储(python版)...
  2. ionic 支持float吗_oppok7x怎么样值得买吗 oppok7x介绍
  3. JAVA中List与Array之间互换
  4. 织梦dedecms 相关文档标签(likearticle)实现关联整站文档
  5. java 拆分文本文件
  6. python 第3天
  7. debian6 snmpd 安装配置
  8. HDU 1255 覆盖的面积(线段树+扫描线)
  9. Android签名打包详解
  10. 风云的银光志Silverlight4.0教程之遍历访问客户端用户的本地文件