Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒
环景:
Ubuntu16.04.06 LTS
问题描述:
-bash 进程占用cpu很高,别的进程开启运行过后就被它killed,-bash一直占用50%的CPU,服务器被拉的嗷嗷叫
解决方案:
1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息**
与外国157.245.164.26地址通信
htop
2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务
- /dev/shm/.bash/bash
删除crontab任务:crontab -r
3.ls -l /proc/28505/exe #28505为当时进程号 查看进程位置
lrwxrwxrwx 1 root root 0 Nov 5 13:04 /proc/28505/exe -> /usr/bin/-bash (deleted)
显示的是这个样子 exe -> /usr/bin/-bash (deleted) 表示在运行已经被删除,是刻意隐藏代码的一种手段
进程和文件定时任务清除后,还是会隔一段时间自动开启
继续检查
4.查看环境变量.bash_profile时发现存在异常:
root@ps-SYS-4028GR-TR:~# cat .bash_profile 查看环境变量
cp -f -r – /bin/bprofr /bin/-bash 2>/dev/null && /bin/-bash -c >/dev/null 2>&1 && rm -rf – /bin/-bash 2>/dev/null
5.发现木马文件/bin/bprofr
删除,rm –rf /bin/bprofr,执行时报如下错误:
rm –rf /bin/bprofr : Operation not permitted
root@ps-SYS-4028GR-TR:/bin# lsattr bprofr 查看文件属性
----ia-------e-- bprofr
root@ps-SYS-4028GR-TR:/bin# chattr -ia bprofr 去除属性
root@ps-SYS-4028GR-TR:/bin# rm -rf bprofr 删除文件
继续观察观察····
6.开机脚本文件
cat /etc/rc.local
才消停几个小时,又发作
查看bin目录下5个文件,-bash(大爷)、 initdr、 sysdr、 bprofr(之前已经删了)、 crondr,这5大包工头黑壳工具,4个都是属于uucps组
在这期间一不留神误删了正常bash,欲哭无泪····
恢复文章
6.删除5大包工头和环境变量(提示没有权限,更改权限再删除)
root@ps-SYS-4028GR-TR:~# vi .bash_profile
提示没有权限
[7]+ Stopped vi .bash_profile
root@ps-SYS-4028GR-TR:~# lsattr .bash_profile
----ia-------e-- .bash_profile
root@ps-SYS-4028GR-TR:~# chattr -ia .bash_profile
root@ps-SYS-4028GR-TR:~# vi .bash_profile
root@ps-SYS-4028GR-TR:~# cat .bash_profil
把这些文件导出用火绒扫了下,360扫不出
入侵排查整理
- 定时任务排查
定时任务crontab是挖矿病毒都会用到的东西,所以定时任务一定要看。
1.crontab-l #列出所有的定时任务
2.crontab -r #删除所有的定时任务,可能会删除我们自己的配置信息,不推荐使用
3.crontab -e #编辑crontab文件
一些需要关注的定时任务文件
1./var/spool/cron/* #centos的
2./var/spool/cron/crontabs/* #ubuntu的
3./var/spool/anacron/*
4./etc/crontab
5./etc/anacrontab #异步定时
6./etc/cron.hourly/*
7./etc/cron.daily/*
8./etc/cron.weekly/
9./etc/cron.monthly/*
- 用户密码
排查/etc/passwd
1.cat/etc/passwd #查看密码文件上一次修改的时间,如果最近被修改过,那就可能存在问题。
2.cat /etc/passwd | grep-v nologin #查看除了不可登录以外的用户都有哪些,有没有新增的
3c.at /etc/passwd | grepx: 0#查看哪些用户为root权限,有没有新增的
4.cat /etc/passwd | grep/bin/bash#查看哪些用户使用shell
- 导出操作记录
如果攻击者没有删除造作记录,我们可以从操作记录中发现一些我们想要的东西
1.exportHISTTIMEFORMAT= "%F %T whoami
"#设置history显示时间和用户名
2.history> /home/xxx/history.log
- 日志
日志总是能发现一些蛛丝马迹,所以日志也同样重要。存放在/var/log目录下的东西都认真看一下
1./var/ log/secure #记录安全相关的日志,重点看一下
2./var/ log/btmp #登陆失败的日志记录
3.lastb -f btmp-2020xxxx #可以查看过去的某个登录失败记录 last -f /var/log/btmp | more
4./var/ log/wtmp #登陆成功的日志记录 last -f /var/log/wtmp | more
5.wtmp和btmp只能使用 last和lastb命令查看,不能直接打开看内容的
6./var/ log/yum.log #安装记录,我们可以看一下最近有没有安装一些特殊的依赖库什么的
- 进程排查
1.top 命令可以直接清除看到实施情况。
2.ps aux --sort=pcpu | head -10#查看cpu占用率前十的进程,有时候可以发现top发现不了的东西
3.ls -l /proc/*/exe | grep xxx #如果我们知道恶意程序的启动文件大致位置,可以使用这个发现无文件的恶意进程
- 域名hosts
有一些挖矿程序会修改 /etc/hosts文件,请看一下其中内容是否被更改过
前两天在另外的项目组上发现的某个挖矿病毒就会修改hosts文件
这是从那台服务器上提取的一些恶意的配置内容
10 .0.0.0aliyun.one
20 .0.0.0lsd.systemten.org
30 .0.0.0pastebin.com
40 .0.0.0pm.cpuminerpool.com
50 .0.0.0systemten.org
- 网络连接
有时候我们通过网络连接发现有些IP很可以,就可以通过ip找到进程发现问题。
1netstat-antlp | grep x.x.x.x | awk ‘{print $7}’ | cut -f1 -d “/”#获取存在某ip的进程id号
Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒相关推荐
- memcached 如果进程占用cpu很高
memcached 如果进程占用cpu很高 一客户占用到了 25% 把mencache内存大小从32m 改成256m 后 memcached 基本占用cpu 是0 可能分配的内存不够用了 大量的新缓 ...
- vs code1.61.1 任务管理器里出现2个rg进程占用cpu很高电脑运行卡
环景: win10专业版 vs code v.1.61.1 问题描述: 任务管理器里出现2个rg进程占用cpu很高,电脑卡 解决方案: vs code软件里打开文件->首选项->设置搜se ...
- redis进程占用CPU很高-达到100
问题说明: 监控发现,redis进程占用CPU很高-达到100%.并且会有2个redis进程.如下图: 分析了一下,因为redis在持久化保存的时候,会fork出一个进程来.仔细观察进程号PID,会发 ...
- 【Windows笔记】-----任务管理器发现 NT Kernel System 进程占用CPU很高
两个月前win10更新之后就发现系统用起来没以前流畅了,后来也没怎么去优化. 电脑也没装游戏之类的软件,但这两天突然发现电脑管家老显示CPU占用95%以上,内存占用86%以上(总内存12G),情况不对 ...
- 服务器被挖矿入侵,进程 command为ld-linux-x86-64占用cpu很高,解决经历
问题发现: 测试服务器看到 ld-linux-x86-64的进程占用cpu极高,user 是 oracle的. 测试环境不会有这么高的oracle负载.区块链技术盛行,让人不得不怀疑被抓去做矿机了. ...
- linux下查找java进程占用CPU过高原因
linux下查找java进程占用CPU过高原因 1. 查找进程 top查看进程占用资源情况 明显看出java的两个进程22714,12406占用过高cpu. 2.查找线程 使用top -H -p &l ...
- Microsoft Compatibility Telemetry进程占用CPU过高如何解决?
知识点分析: Win10使用中,发现Microsoft Compatibility Telemetry进程占用CPU过高,导致机器卡顿. Microsoft Compatibility Telemet ...
- ubuntu nautilus 占用CPU很高
ubuntu nautilus 占用CPU很高 系统是ubuntu 16.04 不知道从什么时候开始,nautilus无缘无故占用CPU内存很高,导致电脑经常卡. 网上说是Templates文件夹里面 ...
- linux php cpu,查找linux下进程占用CPU过高的原因,以php-fpm为例
很多时候,线上服务器的进程在某时间段内长时间占用CPU过高,为了优化,我们需要找出原因. 1.找出占用CPU最高的10个进程 ps aux | sort -k3nr | head -n 10 或查看占 ...
最新文章
- linux 权限 775 777 区别
- linux查看oracle的sga设置,Oracle基础教程之设置系统全局区SGA命令
- Android O: View的绘制流程(三):布局和绘制
- [PHP] 三种运行模式 ISAPI模式 APACHE2HANDLER模式 CGI模式 FastCGI模式
- 2.两数相加 golang
- C++学习——抽象类
- mysql8.0安装问题
- 【Level 08】U07 Mixed Feelings L3 I just want to have fun
- FLEX Tree动态获得信息时遇到的问题总结
- 四川专科学校排名四川计算机,四川省现代计算机职业学院2020年排名
- Oracle11g创建表空间、创建用户、角色授权、导入导出表以及中文字符乱码问题
- 安卓手机清楚内置X5浏览器缓存
- 树莓派学习路程No.1 树莓派系统安装与登录 更换软件源 配置wifi
- spss进行相关性分析
- 从ghost映像.gho文件快速创建vmware虚拟机
- 51单片机控制动态数码管的显示
- 使用函数调用 输出三个数中的最大值,最小值
- android 一分钟倒计时动画,Android利用属性动画自定义倒计时控件
- leetcode/求平方根
- 大数据与云计算——牛客网大数据面试问题总结