服务器被攻击植入挖矿病毒，CPU占用高问题排查处理（.systemd-service.sh）

最新推荐文章于 2025-10-30 22:20:45 发布

原创

最新推荐文章于 2025-10-30 22:20:45 发布 · 1.9k 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#linux #服务器

客户服务器遭攻击，部署的应用服务经常性被停止，服务器CPU占用居高不下，top查看如下：

可以看到第一个bash任务，占用cpu近400%，非正常的应用程序和脚本任务，多半是被植入了木马信息。

查看该进程的符号连接，发现已经是被删除的状态 /usr/bin/-bash (deleted)，无法查看其启动程序的信息

查看定时任务：cat /etc/crontab,发现都是正常的应用程序定时脚本

又用 crontab -l 查看了一下，发现了异常定时任务如下，同top里的异常任务一致，遂将该定时任务注释，并kill调那个异常进程继续观察

一段时间后，top查看异常任务又复现了，再次查看crontab任务并未发现异常，继续查看/etc/cron.daily cron.d下的文件时，均发现未知的sync文件，内容如下

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

gottst

关注关注

1
点赞
踩
4

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

排查挖矿病毒

gender123的博客

03-28

4860

Linux被kdevtmpfsi，pnscan挖矿病毒入侵记录

懒得一批的打工人博客

08-17

1083

Linux被kdevtmpfsi，pnscan挖矿病毒入侵记录起因从腾讯云刚拿了一台新服务器，第一天装好docker环境后，第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信好在腾讯没有直接停用我的服务器，直接进入服务使用top观察了一会高占用进程发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状：使用top & ps & netstat 等等命令，都无法正常使用 CPU基本100%，时不时网络中断 redis端口6379

2 条评论您还未登录，请先登录后发表或查看评论

systemctl设置自己的systemd.service服务设置守护进程

lonnng2004的博客

04-02

2万+

介绍 Systemctl是linux系统继init.d之后的一个systemd工具，主要负责控制systemd系统和管理系统服务 systemd即为system daemon,是linux下的一种init软件有时我们将自定义程序注册为systemd service 进程管理交由系统管理，可以方便启动停止，亦可以实现服务异常退出重启,开机自启动。减少自定义程序服务管理的时间消耗。...

linux服务器CPU过高中毒排查

HouYing

11-30

1847

通过top查看到了，占用CPU过高进程，记录下进程号 cd/proc/进程号 ls -la 查看到exe后边对应的命令为：usr/bin/-bash (deleted) 在每小时的脚本中找到了sync，然后通过这个找到了病毒所在目录：/bin/sysdrr 病毒清理脚本如下： chattr -R -i /bin/sysdrr chattr -R -i /etc/cron.d/0hourly chattr -R -i /etc/cron.daily/sync chattr -R -i /.

避坑指南：Linux 服务器 “被植入挖矿程序” 的进程排查与文件清理方案

最新发布

idhsajkhs的博客

10-30

348

通过以上步骤可彻底清除常见挖矿程序，后续建议定期审计进程与开放端口，最小化服务器暴露面。当服务器CPU异常满载时，可能遭遇挖矿程序入侵。

Ubuntu16.04.06 LTS -bash 进程占用cpu很高,中了挖矿病毒

本博客，博文仅代表个人操作经验，不能完全解决你的问题，仅供参考，佛系回复。

06-21

7049

Ubuntu16.04.06 LTS -bash 进程占用cpu很高,别的程序开启过后就被killed，占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务：crontab -r 3.ls -l /pr

记录一次服务器被入侵，单进程CPU超过1000%

weixin_45284355的博客

12-06

2265

记录一次服务器被入侵，单进程CPU超过1000%背景top查看发现异常查看定时任务查看行程序的符号链接查看/etc/cron.hourly等目录下内容，发现都有个脚本sync删除sysdrr文件本文地址背景某小区智慧园区项目，新购一台linux服务器作为边缘节点。IEF创建并纳管边缘节点、下发边缘接入应用、创建算法任务，调试正常。但不久后应用异常，登录服务器发现-bash进程cpu1000%以上。因为是在客户内网环境，所以设置了简单密码登录。 top查看发现异常使用top可以清楚的看到-ba

服务器被植入木马，CPU飙升200%

Java技术栈，分享最主流的Java技术

11-15

471

线上服务器用的是某云的，欢快的完美运行着Tomcat，MySQL，MongoDB，ActiveMQ等程序。突然一则噩耗从前线传来：网站不能访问了！此项目是我负责，我以15...

云服务器被植入挖矿木马，CPU飙升200%处理方案

weixin_55625082的博客

11-25

2324

云服务器被植入挖矿木马，CPU飙升200%处理方案 1，通过执行top命令，即可在返回结果中看到当时系统的CPU占用率。 top -c 2.检查防火墙iptables规则中是否存在可疑端口 iptables -L -n 查看防火墙规则 vim /etc/sysconfig/iptables 清除防火墙中的可疑地址和规则 iptables -A INPUT -s 可疑地址 -j DROP 删除入口方向可以地址 iptables

挖矿病毒伪装TOP命令占用CPU问题排查

哈哈哈哈哈哈哈

08-05

3929

场景前几天搭建了个frp的访问通道，用来在外网访问自己的内网的一个集群，一开始无任何问题，但是呢，从昨天开始，集群的一些组件就无法启动或者丢失连接，并且主机列表里的心跳信息是好久之前的，本以为是服务器挂了，但是看了一下是好的，就是有点卡，以为是服务启用多了，内存或磁盘满了，然后看了下发现并没有，，然后就想看下CPU的情况，但是呢，top命令竟然无法使用：到/usr/bin下边一看，top竟然没得咯，想想估计是误删吧，就从其他机器上scp一个过来，然而，其他机器上也没有，那只能先装个htop看下情况。

伪装为kswapd0进程的挖矿木马

分享身边生活经验blog

06-26

2766

一、起因腾讯云给我发了几封邮件说我的服务器被木马攻击。 image.png 我打开服务器监控一看，闲置的服务器CPU飙升。 image.png 二、排查 2.1 首先查询CPU占用最多的3个进程查使用内存最多的K个进程方式一：ps -aux | sort -k3nr | head -K image.png sort参数说明： |选项 |说明 |—————|————————————————————————— |-n |依照数值的大小排序，不加-n按字符串大小

【应急响应】-Linux 篇

Zt_Zk的博客

08-27

998

发现问题要处置，遵循原则：百分百确认是非法文件，报备记录关停，摸棱两可找负责人确认，处置看沟通结果

Linux系统中 systemd-journaldCPU占用异常的解决方法

weixin_41540362的博客

04-18

1万+

一、待解决问题先贴几张图，问题解决之前最头疼的问题（因打印日志的高占用——以致CPU占用高达96%，已经无法满足日常使用）从图中可见systemd-journald占用了1/4的CPU资源（注：我是用的是Deepin系统）二、解决办法因为要解决这个问题，我在网上找了很多，其中大概都是如下的解决方法： https://www.jianshu.com/p/8b3fba13...

关于服务器被入侵+植入病毒木马

不会飞的鱼、

11-02

1826

近期项目中遇到了几个棘手的问题，海外服务器被植入木马WK程序。之前一直听说xxx的服务器被入侵被黑，这次实打实遇到，还是没有做好安全防护策略，看了下应该是通过redis无密码漏洞渗透进来，9月14日早晨，客服侧反馈xxx系统从早晨6点半开始无法收到告警和工单，排查xxx相关网元服务都正常运维，内存，磁盘使用率占用正常，其中cpu使用率较高，存在异常情况。随机展开排查。

Ubuntu开机自启服务systemd.service配置教程（Ubuntu服务）（Linux服务）upstart（systemd教程）

热门推荐

Dontla的博客

08-01

2万+

systemd是目前主流的init系统，大多数Ubuntu版本都支持使用systemd来配置开机自启服务。但是，对于旧版本的Ubuntu，可能需要使用upstart来配置开机自启服务。

linux服务器cpu被bash、java服务占满，疑似挖矿脚本

chywzh的博客

11-11

865

疑似挖矿脚本植入服务器

服务器bash进程占用cpu过多疑似中挖矿病毒记录

夏日の blog

11-28

2642

因为我有使用conky的习惯，也就是在桌面上会显示cpu和内存的占用情况，由于服务器不止我一个人使用，最近发现好几次我同学的账户下的bash进程占用特别多，问了他之后，他也说他几次都是没有使用过bash相关服务，之前一直以为可能是某个软件bug之类的，这次想着好好查一下。

阿里云服务器中挖矿病毒处理方法，centos7

cy3329520的博客

01-21

2633

今天上班，发现公司的服务都没了，进服务器一看，好家伙，top一看，cpu直接飙到百分之80，还是个乱码的进程名称，一看就是挖矿的病毒。然后我查资料，说是先通过 /proc/pid/exe 找到进程路径，但是我查了，直接报exe目录是空的。这就神奇了，和网上说的不一样。是不是情况不一样。然后我去看了定时任务：crontab -e 发现新增的一个定时器，名字叫.systemd-service.sh。然后sh逻辑是显示一串类似秘钥的东西。所以这个挖矿病毒的逻辑应该是通过redis的6379端.

误删usr/bin/bash后无法登录，抢救性修复

奔跑的痕迹的博客

06-04

4020

使用top 查看cpu 使用情况，发现了大量的es 用户，但是这个并非我执行的，感觉有些奇怪了使用查看PID启动文件的路径发现都是在usr/bin/bash 中，于是想都没想就把bash 删除了，然后kill 所有进程，再然后就是reboot 重启系统，心想这次该没问题了。哪知，输入用户密码登录，又出现了登录界面，一直进入不了系统，这才恍然大悟，刚才删除了用户信息，现在是无法进行登录了！心中突然一紧，这可怎么是好，安装了那么多应用在系统里面了；如今无法进入系统，该咋办？不可能重装了后再重新安装一次吧！这

1. systemd-journald.service 3. systemd-manager 5. systemd-resolved.service 7. user@1000.service 2. systemd-logind.service 4. systemd-networkd.service 6. unattended-upgrades.service 8. none of the above

09-29

systemctl status systemd-journald.service systemctl status systemd-resolved.service # 停止服务 systemctl stop systemd-journald.service # 启动服务 systemctl start systemd-journald.service # 设置服务...