linux实战清理挖矿病毒kthreaddi
故事背景
最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。
安装busybox
系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。
> busybox top
终于看到了这个
kthreaddi
进程,上网一查这个东西叫门罗币挖矿木马
,伪装的实现是太好了和系统中的正常进程kthreadd
太像了。
清理门罗币挖矿木马
常规方式先试试
> kill -9 6282
过一会又起来了,说明有守护进程
检查系统中的定时任务
> crontab -l
0 * * * * /tmp/sXsdc
发现一个这,一看就不是什么好东西,直接清理
crontab
,crontab -e
dd
:wq!
一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00
,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。
去内核数据目录找找看
> ls -al ll /proc/6282
6282
是刚才那个挖矿进程
原来在 tmp下面有文章 ,但是被 deleted,不管先去看看
> /tmp/.dHyUxCd/
> ls -al
config.json 里面都是一些配置,里面找到一个美国的IP
清理病毒
- 删除
/tmp/.dHyUxCd/
目录 - kill -9 挖矿进程pid
- reboot重启
总结
本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。先把docker停掉(后面抽空Docker启用TLS进行安全配置),redis密码强度加高一点。
原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
微信公众号:入门小站
linux实战清理挖矿病毒kthreaddi相关推荐
- ubuntu清理挖矿病毒
0 序言 我之前搭建的hadoop用于测试,直接使用了8088和9870端口,没有放入docker,从而没有端口映射.于是,就被不法之徒盯上了,hadoop被提交了很多job,使得系统被感染了挖矿病毒 ...
- 【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
文章目录 ssh暴力破解 0x00 前言 0x01 应急场景 0x02 日志分析 系统账号情况 /var/log/secure /var/log/auth.log 0x03 处理措施 0x04 我的实 ...
- 如何快速发现linux系统有挖矿病毒
使用系统监控工具:可以使用系统自带的top.htop等工具或第三方监控工具,查看系统的CPU.内存.网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒. 查看进程信息:使用ps命令查看系统的进 ...
- linux服务器中毒挖矿,Linux服务器中挖矿病毒 二
标签: 使用top命令可以看见CPU 100%,但是进程中居然cpu占用率都很低. 使用ps -aux --sort=-pcpu|head -10 这现在露出了原形.发现一个占用几百的进程 Kmmcd ...
- centos系统清理挖矿病毒kthreaddk
服务器系统是centos, cpu使用超100%,找到占用cpu的进程kthreaddk, 网上一查原来是挖矿病毒. 分析解决: 找到kthreaddk进程号,kill -9 xxx , 杀掉后马上又 ...
- linux 中了挖矿病毒
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0 ...
- CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&a ...
- Linux服务器.Xr1挖矿病毒解决
1. 发现问题 开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程 2. 问题定位 2.1 通过top命令查看, 发现 xr文件, C ...
- Linux中处置挖矿病毒样本演示
一.病毒特征 1.top 查看cup使用率 CUP使用率极高,也可以看到它的PID 2.查看网络连接数 netstat -anpt | grep tcp 连接数较高. 二.处置 1.kill pid ...
最新文章
- [Google Guava] 1.2-前置条件
- CSAPP实验二进制炸弹
- 解决方法|ESP8266环境搭建出现 usrbinenv bashr :没有那个文件或目录
- 删零c语言,C语言(请不要删)
- jQuery选择器之id选择器
- pycharm 设置为git默认编辑器_pycharm配置使用git
- Google地图接口API之Google地图 API 参考手册(七)
- (1)算法设计与分析_算法设计思路
- 20210729-Codeforces Round #735 (Div. 2)
- 阿里前端智能化技术探索和未来思考
- 舰船知识科普-有图有真相(附PPT)
- 【2022年度书法鉴赏网课答案】
- vue实现斑马线进度条
- 这才是纯爷们!!!~~~~~~
- 带有示例的Python date weekday()方法
- HyperLedger Fabric 学习思路分享
- CVPR2014结果出来了,小伙伴们赶紧来啊~~~~
- 2020年高级Java程序员面试题汇总,含答案总结
- Qt_Opencv安装
- 推荐几款工作效率提升工具
热门文章
- 利用python对excel文件进行操作_数据处理-对Excel文件读取和操作和存储(python版)...
- ionic 支持float吗_oppok7x怎么样值得买吗 oppok7x介绍
- JAVA中List与Array之间互换
- 织梦dedecms 相关文档标签(likearticle)实现关联整站文档
- java 拆分文本文件
- python 第3天
- debian6 snmpd 安装配置
- HDU 1255 覆盖的面积(线段树+扫描线)
- Android签名打包详解
- 风云的银光志Silverlight4.0教程之遍历访问客户端用户的本地文件