成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升
本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,服务器提供商说要重装系统,或者用原始正常镜像做恢复,这样会把原来的系统重新安装部署,这样下来又需要几天时间,测试维护,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。
下面记录描述一下处理方法,如下:
首先:针对CPU过高,针对占用进程进行排查,查找可疑进程。
通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。
这样基本可以消除CPU占用过高的问题。
再次 发现服务器被挖矿病毒入侵的内存占用过高,查看可疑进程,杀掉内存占用过高的进程,这里就不一一描述。
针对crontab顽固脚本,进行处理。处理步骤如下:
1.安装busybox
#!/bin/bash #获取busybox安装包,也可以其他机器下载后离线上传到目标机器 wget http://busybox.net/downloads/busybox-1.21.0.tar.bz2 #需要bzip2,要是机器没有安装的话 yum -y install bzip2
tar -xvf busybox-1.21.0.tar.bz2 cd ./busybox-1.21.0 make defconfig #注意,这里最好在相同操作系统的正常机器上进行静态链接 #防止动态链接还被挖矿病毒的动态库劫持,导致删除文件不成功 #如果条件不允许,第二点将会重点说明 make make install
#ln -s `pwd`/busybox /usr/bin/busybox
#busybox|grep BusyBox |grep v
成功后,提示如下:
BusyBox v1.21.0 (2019-04-15 19:51:44 CST) multi-call binary.
2.注释相关脚本
#vim /etc/ld.so.preload
3.建立查杀脚本,如:killwakuang.sh
脚本文件 ../killwakang.sh
(注意要设置权限:#chmod u+x ./killwakang.sh
vi设置unix文件::set ff=unix)
重启服务器后,继续执行sh
具体还有很多细节,中间可能会遇到各种各样的问题,可能环境不同,错误表现不同,需要针对性的解决,时间关系,不能细致描述,如有需要帮助支持,可以协助解决。
本人经过实践验证已经成功解决了挖矿病毒问题。
如需本人协助技术支持,可以联系,18034263356
成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升相关推荐
- kerberods挖矿病毒查杀及分析(crontab 挖矿 curl -fsSL https://p
一. 症状及表现 CPU使用率异常高,外出流量异常 crontab异常,存在如下定时任务(基本上就可以确定了) [root@mdw ~]# crontab -l */15 * * * * (curl ...
- 解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
- 记一次Linux服务器因redis漏洞的挖矿病毒入侵
中毒原因,redis bind 0.0.0.0 而且没有密码,和安全意识太薄弱. 所以,redis一定要设密码,改端口,不要用root用户启动,如果业务没有需要,不要bind 0.0.0.0!!!!! ...
- 系统安全工作笔记001---zigw挖矿病毒_没想到生产环境给整成矿鸡了_安全意识有待提升....
JAVA技术交流QQ群:170933152 -----先说重点---- 其实杀掉进程,然后按照下面的方法,去删除etc/下面的zigw文件,这样还是不行的,这个病毒,在计划任务中, 她会频繁的自己重启 ...
- linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
一次 "无文件"."无进程",在系统中 "几乎" 看不到异常的高配挖矿病毒处置实例 . 0x00 正经的内容介绍 本文记录了一次表象是 &q ...
- linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录 起因 清除过程 确定病因 开始清除 复发 定时任务 update.sh分析 修复 样本分析:networkservice文件的分析 分析准备 功能分析 sysguard 样本下载 *本文中涉 ...
- Linux 下qW3xT.2,解决挖矿病毒
早上开启电脑,连接服务器,使用top查看cpu状态.结果显示进程占用cpu99%以上. 在网上百度,了解到qW3xT.2是一个挖矿病毒.也就是说别人利用你的电脑挖矿.谋取利益. 解决办法: 1.首先解 ...
- qW3xT.2,解决挖矿病毒。
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置. 在晚上一点左右.阿里云给我发短信,告诉我服务器出现紧急安全事件.建议登录云盾-态势感知控制台查看详情和处理. 于 ...
- 常见挖矿病毒处理方法(qW3xT/Ddgs.3011/S01wipefs/acpidtd/MSFC)
常见挖矿病毒处理方法 1.常见病毒 病毒名称:qW3xT: 现象:占用超高CPU,进程查杀之后自启动. 中毒案例:(--) 2.病毒名称:Ddgs.3011 现象:占用超高CPU,进程查杀之后自启动. ...
最新文章
- USEARCH11新功能简介
- 艾伟_转载:从ASP.NET的PHP执行速度比较谈起
- 利用ajax赋值,jquery利用async在ajax中给全局变量赋值
- 转载 oracle12c 切换字符集
- XML——XSLT的一个简单荔枝
- matlab与vc混合编程指导书.doc,vc与matlab混合编程—基于com.doc
- Leetcode每日一题:767.reorganize-string(重构字符串)
- 节点通讯共享信息的问题
- 物料编码是计算机识别和检索物料的( ),物料编码是计算机识别和检索物料的。...
- PaddlePaddle:CNN对Cifar10图像分类(1)
- mysql酒店客房管理系统的设计_《酒店客房管理系统设计》总结
- 網頁設計收藏站70個
- andriod安装linux系统
- 如何通过VISIO来画网络拓扑图
- 2021上半年教资综合素质——主观题
- mysql怎么对月份进行统计_MySQL如何按月份统计数据详解(转)
- Python+pywin32批量读取带密码的Excel文件数据导出为CSV文件
- Discuz招商加盟门户网站整站模板/加盟项目网站商业版源码/整站带测试数据
- 买外链,seo发外链,外链发布平台有哪些?
- 北京妞儿找IT男图的算数思路