分享一次服务器被挖矿的处理方法

最新推荐文章于 2024-10-08 16:34:47 发布
原创 最新推荐文章于 2024-10-08 16:34:47 发布 · 455 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #java #数据库 #运维 #centos

本文介绍了一种排查服务器上导致CPU使用率持续100%的恶意程序的方法,包括使用top命令查找高负载进程,通过PID定位程序路径,修改文件权限阻止执行,检查crontab计划任务,并提供了服务器安全加固建议。

问题现象:

  • CPU的使用率一直100%
  • 服务器卡顿,无法正常使用

疑似原因:

  • 系统密码较弱被破解
  • 安装的程序有漏洞被不法分子利用
  • 等等

排查步骤:

  • 使用top命令观察占用cpu程序的PID(注:恶意程序的名称千奇百怪)



v2-67e013e6e1ce231176a87b822104bac9_b.jpg


  • 通过PID查看该程序所在的目录:ls /proc/XXX/


v2-04cfd9d89d1c06ca9c57e5caaa75bb56_b.png


  • ​ 执行ll /proc/14202 查看该程序运行的目录


v2-f4878af59f9a92a0897505c554a7d04a_b.jpg


  • 进入该目录并进行查看都有哪些文件



v2-31ce05af8b1a4f45d0b7ed6f7f1c29ca_b.png



v2-30e636aa85cc822db6890ba62657d453_b.jpg


  • 将这些文件的权限全部修改成000,使这些程序无法继续执行:chmod 000 -R *



v2-3c2b2a8d65e30bd6ce2c787fe25bb4cc_b.jpg


  • ​ 以上基本可以找出恶意程序所在的目录了,接着我们将该程序kill 掉即可



v2-d4cfe0d202e66b80a4563c190cfae7ab_b.png


  • 持续观察即可(该示例通过观察30min,该恶意程序继续没有再执行)



v2-b360ec2efce761de491cefe336ddae6e_b.jpg


补充:

  • 建议执行crontab -l 查看是否有可疑计划任务在执行,如有请及时删除(crontab -r)
  • 通过上面的排查步骤我们可以看到cron程序是运行在/root/.bashtemp/a目录下的,但/root/.bashtemp/目录下还有很多这样的程序,所以也要执行:chmod 000 -R * 将所有恶意程序的权限清除
  • 一般来讲通过以上步骤可以将恶意程序干掉,但不排除不法分子还留有其他后门程序,为了避免类似情况发生,建议保存重要数据后重装操作系统
  • 后续请对服务器做安全加固,以免再次被入侵,比如更改默认远程端口、配置防火墙规则、设置复杂度较高的密码等方法

作者:董双磊

滴滴云-为开发者而生 滴滴云使者

一次挖矿病毒的排查过程
邓邓子的博客
06-06 699
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!清除异常任务,重启服务器
一次清理挖矿病毒的过程
邓邓子的博客
07-05 2553
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
阿里云服务器挖矿怎么办
网站安全专家
02-11 5216
春节刚开始,我们SINE安全,发布了2018年服务器挖矿的整体安全分析报告。该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议。 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器挖矿的情况还是持续性的增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入侵服务器...
服务器挖矿了怎么办?别急看这里@~…~@
最新发布
童龙辉的博客
10-08 3430
服务器挖矿攻击通常是由于系统或应用程序的漏洞被黑客利用,导致恶意软件在服务器上运行,消耗大量资源进行加密货币挖矿。列举:从图中可以看到,你的系统检测到了一次挖矿”行为,并标记为高危威胁。攻击者的IP是,并且目标是。根据描述,攻击类型是通过客户端登录矿池进行的,矿池登录是挖矿行为的一种典型表现。下面将给出一般的处理方法希望能帮到大家。
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 3052
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
服务器被黑客攻击,用来挖矿,怎么办?
m0_63171455的博客
02-23 3066
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖...
服务器挖矿后如何排查处理
热门推荐
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
我次儿嘹!正在上班突然收到一条短信告知:云服务器疑似被挖矿
DaenCode的博客
08-10 852
2023年8月8日上午突然收到一条腾讯云服务器的一条站内信:服务器疑似被挖矿。因为对云服务器不是很熟,只是会玩玩简单的命令,从来没有遇到过这种问题,当时是慌极了。看到站内信中提示不在规定的时间内处理服务器就会被封禁,我才刚买的服务器呀。于是,就去网上查阅了相关博客以及腾讯云官网的处理手册,来对此进行了处理
ubuntu主机被挖矿——排查与应急响应
4pri1
08-03 3093
说来话长,昨天晚上想搞个自动发短信提醒的平台,偶然间看到腾讯云给我发的站内信, 我直接好家伙,半个月了,我才发现,赶快去看了看我的控制台cpu负载 直呼好家伙,这显然是被挖矿了啊,挖了半个月了,让你再挖一晚上吧,于是第二天早上开始了应急响应。 首先查看腾讯云监控的信息, 定期登录看看我?伤害不大,侮辱性极强 cat ~/.bash_history 看到这里想到之前做一个团队服务器时潦草建了个测试账户 看了看bashhistory, 嘶,当时雀实够潦草,顺...
一次阿里云被挖矿处理记录
m0_61101264的博客
08-17 372
本篇文章还有很多的不足之处,并没有找到病毒攻击的入口,又是如何入侵到系统的,挖矿的脚本究竟运行在哪?按照正常的被攻击排错方式,一开始并不顺利。总结一下系统被入侵的排查思路,只是给后来者提供一下解决思路(希望大家的系统都很健壮,不被攻击)。查看系统的CPU和内存占用查询占用系统资源过高的进程排查定时任务,crontab -l或者目录检查异常端口,如发现,禁用端口,堵漏使用last命令查看系统异常登录情况(一般攻击者会抹去入侵记录)使用history。
服务器挖矿了怎么办
wtj318_的博客
09-07 409
挖矿了怎么办
服务器遭遇挖矿怎么办?
2401_84466316的博客
06-03 2640
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
服务器挖矿后如何处理
似水流年
07-15 2190
挖矿会使服务器硬件资源,如:CPU、内存消耗极大,但是一般运维人员处理挖矿攻击时最头疼的就是处理不干净,其实挖矿攻击能够成功主要方式是通过服务器安装的第三方工具内在的对外RestAPI进行的,这些第三方工具如果API存在漏洞就会很大程度被黑客攻击利用开放的端口进行攻击 攻击步骤: 1.申请新的application 直接通过curl进行POST请求 curl -v -X POST 'http://ip:8088/ws/v1/cluster/apps/new-application' 返回内容类似于:
服务器挖矿怎么办,如何彻底删除挖矿文件
weixin_39922352的博客
06-06 9748
一分钟解决服务器挖矿,彻底删除挖矿程序
服务器被黑客攻击,用来挖矿!怎么办?
wuli1024的博客
12-29 1985
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。
linux服务器挖矿的解决办法
白雪少年
09-07 1万+
一、前言 本周发现服务器很卡,明明什么实验也没跑(GPU是空的),然后重启后使用top指令后发现在自己账号下有个进程占用了所有的的cpu资源。然后使用top指令突然发现自己账号下有个进程将cpu的资源用完了,尝试使用kill命令终止该进程后发现几秒钟又重启,至此发现该进程是恶意进程,网上搜索后发现是一个挖矿的程序。直到问题,那就好办了。 二、解决办法 想法:由于直接kill定时任务的程序不行,那么应当先将定时任务删除。然后再去找到被修改的文件,要么删除,要么修改。 1. 阻断挖矿程序链接外网服务。 查看/e
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 2100
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒。
服务器挖矿问题解决
魏尚夫的成长之路
06-05 567
SSH爆破攻击分析即解决
我的服务器挖矿了,原因居然是...
A_991128a的博客
06-24 649
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
通过JavaScript获取服务器时间的实现方法
这里的目标URL被设置为"ʋַ",这可能是一个占位符,实际应用中需要替换为实际的服务器地址。然后,`send(null)`发送请求,`false`参数表示这是一个同步请求,意味着它会阻塞浏览器直到请求完成。 服务器响应后,`...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值