服务器被攻击植入挖矿病毒,CPU占用高问题排查处理(.systemd-service.sh)

最新推荐文章于 2025-10-30 22:20:45 发布
原创 最新推荐文章于 2025-10-30 22:20:45 发布 · 1.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器

客户服务器遭攻击,部署的应用服务经常性被停止,服务器CPU占用居高不下,top查看如下:

 

可以看到第一个bash任务,占用cpu近400%,非正常的应用程序和脚本任务,多半是被植入了木马信息。

查看该进程的符号连接,发现已经是被删除的状态 /usr/bin/-bash (deleted),无法查看其启动程序的信息

查看定时任务:cat   /etc/crontab,发现都是正常的应用程序定时脚本

又用 crontab  -l 查看了一下,发现了异常定时任务如下,同top里的异常任务一致,遂将该定时任务注释,并kill调那个异常进程继续观察

一段时间后,top查看异常任务又复现了,再次查看crontab任务并未发现异常,继续查看/etc/cron.daily  cron.d下的文件时,均发现未知的sync文件,内容如下

最低0.47元/天 解锁文章
排查挖矿病毒
gender123的博客
03-28 4859
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比达4000%。而该269 进程则是挖矿病毒进行度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
jenkins漏洞导致服务器中了挖矿病毒cpu351%!看我如何消灭它!
架构师小秘圈
05-14 5925
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
systemctl设置自己的systemd.service服务设置守护进程
lonnng2004的博客
04-02 2万+
介绍 Systemctl是linux系统继init.d之后的一个systemd工具,主要负责控制systemd系统和管理系统服务 systemd即为system daemon,是linux下的一种init软件 有时我们将自定义程序注册为systemd service 进程管理交由系统管理,可以方便启动停止,亦可以实现 服务异常退出重启,开机自启动。 减少自定义程序服务管理的时间消耗。...
linux服务器CPU中毒排查
HouYing
11-30 1846
通过top查看到了,占用CPU进程,记录下进程号 cd/proc/进程号 ls -la 查看到exe后边对应的命令为:usr/bin/-bash (deleted) 在每小时的脚本中找到了sync,然后通过这个找到了病毒所在目录:/bin/sysdrr 病毒清理脚本如下: chattr -R -i /bin/sysdrr chattr -R -i /etc/cron.d/0hourly chattr -R -i /etc/cron.daily/sync chattr -R -i /.
避坑指南:Linux 服务器 “被植入挖矿程序” 的进程排查与文件清理方案
最新发布
idhsajkhs的博客
10-30 345
通过以上步骤可彻底清除常见挖矿程序,后续建议定期审计进程与开放端口,最小化服务器暴露面。当服务器CPU异常满载时,可能遭遇挖矿程序入侵。
Ubuntu16.04.06 LTS -bash 进程占用cpu,中了挖矿病毒
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-21 7047
Ubuntu16.04.06 LTS -bash 进程占用cpu,别的程序开启过后就被killed,占用50%的CPU 1.netstat -antlp|grep -e -bash -e rsync 查看进程通信信息 与外国157.245.164.26地址通信 htop 2.root@ps-SYS-4028GR-TR:/# crontab -l 查看计划任务 /dev/shm/.bash/bash 删除crontab任务:crontab -r 3.ls -l /pr
记录一次服务器被入侵,单进程CPU超过1000%
weixin_45284355的博客
12-06 2264
记录一次服务器被入侵,单进程CPU超过1000%背景top查看发现异常查看定时任务查看行程序的符号链接查看/etc/cron.hourly等目录下内容,发现都有个脚本sync删除sysdrr文件 本文地址 背景 某小区智慧园区项目,新购一台linux服务器作为边缘节点。IEF创建并纳管边缘节点、下发边缘接入应用、创建算法任务,调试正常。但不久后应用异常,登录服务器发现-bash进程cpu1000%以上。因为是在客户内网环境,所以设置了简单密码登录。 top查看发现异常 使用top可以清楚的看到-ba
服务器植入木马,CPU飙升200%
Java技术栈,分享最主流的Java技术
11-15 470
线上服务器用的是某云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了!此项目是我负责,我以15...
服务器植入挖矿木马,CPU飙升200%处理方案
weixin_55625082的博客
11-25 2324
服务器植入挖矿木马,CPU飙升200%处理方案 1,通过执行top命令,即可在返回结果中看到当时系统的CPU占用率。 top -c 2.检查防火墙iptables规则中是否存在可疑端口 iptables -L -n 查看防火墙规则 vim /etc/sysconfig/iptables 清除防火墙中的可疑地址和 规则 iptables -A INPUT -s 可疑地址 -j DROP 删除入口方向可以地址 iptables
挖矿病毒伪装TOP命令占用CPU问题排查
哈哈哈哈哈哈哈
08-05 3929
场景 前几天搭建了个frp的访问通道,用来在外网访问自己的内网的一个集群,一开始无任何问题,但是呢,从昨天开始,集群的一些组件就无法启动或者丢失连接,并且主机列表里的心跳信息是好久之前的,本以为是服务器挂了,但是看了一下是好的,就是有点卡,以为是服务启用多了,内存或磁盘满了,然后看了下发现并没有,,然后就想看下CPU的情况,但是呢,top命令竟然无法使用: 到/usr/bin下边一看,top竟然没得咯,想想估计是误删吧,就从其他机器上scp一个过来,然而,其他机器上也没有,那只能先装个htop看下情况。
Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
懒得一批的打工人博客
08-17 1083
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告。登陆平台后发现站内信 好在腾讯没有直接停用我的服务器,直接进入服务使用top观察了一会占用进程 发现kdevtmpfsi 和 pnscan 已经把我的cpu跑满了。 pnscan病毒感染惨状: 使用top & ps & netstat 等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379
【应急响应】-Linux
Zt_Zk的博客
08-27 998
发现问题要处置,遵循原则:百分百确认是非法文件,报备记录关停,摸棱两可找负责人确认,处置看沟通结果
Linux系统中 systemd-journaldCPU占用异常的解决方法
weixin_41540362的博客
04-18 1万+
一、待解决问题 先贴几张图,问题解决之前最头疼的问题(因打印日志的占用——以致CPU占用达96%,已经无法满足日常使用) 从图中可见systemd-journald占用了1/4的CPU资源(注:我是用的是Deepin系统) 二、解决办法 因为要解决这个问题,我在网上找了很多,其中大概都是如下的解决方法: https://www.jianshu.com/p/8b3fba13...
关于服务器被入侵+植入病毒木马
不会飞的鱼、
11-02 1826
近期项目中遇到了几个棘手的问题,海外服务器植入木马WK程序。之前一直听说xxx的服务器被入侵被黑,这次实打实遇到,还是没有做好安全防护策略,看了下应该是通过redis无密码漏洞渗透进来,9月14日早晨,客服侧反馈xxx系统从早晨6点半开始无法收到告警和工单,排查xxx相关网元服务都正常运维,内存,磁盘使用率占用正常,其中cpu使用率较,存在异常情况。随机展开排查
Ubuntu开机自启服务systemd.service配置教程(Ubuntu服务)(Linux服务)upstart(systemd教程)
热门推荐
Dontla的博客
08-01 2万+
systemd是目前主流的init系统,大多数Ubuntu版本都支持使用systemd来配置开机自启服务。但是,对于旧版本的Ubuntu,可能需要使用upstart来配置开机自启服务。
linux服务器cpu被bash、java服务占满,疑似挖矿脚本
chywzh的博客
11-11 862
疑似挖矿脚本植入服务器
服务器bash进程占用cpu过多疑似中挖矿病毒记录
夏日 の blog
11-28 2638
因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下。
阿里云服务器挖矿病毒处理方法,centos7
cy3329520的博客
01-21 2632
今天上班,发现公司的服务都没了,进服务器一看,好家伙,top一看,cpu直接飙到百分之80,还是个乱码的进程名称,一看就是挖矿病毒。 然后我查资料,说是先通过 /proc/pid/exe 找到进程路径,但是我查了,直接报exe目录是空的。 这就神奇了,和网上说的不一样。是不是情况不一样。 然后我去看了定时任务:crontab -e 发现新增的一个定时器,名字叫.systemd-service.sh。 然后sh逻辑是显示一串类似秘钥的东西。 所以这个挖矿病毒的逻辑应该是通过redis的6379端.
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件_应急dw
2401_84263262的博客
04-11 836
又是套娃下载:​2)找不到-bash的原因上面的脚本将/bin/initdr拷贝到/bin/-bash,执行他后删除,并且所有的操作都将操作记录写给了null,隐藏了他在系统内的踪迹,更加确定了我的想法,绝壁是被当矿机了。我们用vim打开这个sysdrr文件,发现里面全是乱码,说明这还不是一个简单的文本脚本文件。grep -r 命令的使用也比较简单,只需在命令行中输入grep -r 后面加上要搜索的字符就可以完成搜索,例如:grep -r ‘hello’ 就可以搜索文件中包含hello字符的文件。
1. systemd-journald.service 3. systemd-manager 5. systemd-resolved.service 7. user@1000.service 2. systemd-logind.service 4. systemd-networkd.service 6. unattended-upgrades.service 8. none of the above
09-29
### systemd - journald.service `systemd - journald.service` 是 systemd 日志服务,负责收集和存储系统和服务的日志信息。它替代了传统的 syslog 机制,提供了更强大的日志管理功能,如日志持久化、日志查询、日志过滤等。日志数据默认存储在 `/var/log/journal` 目录下。 ### systemd - manager `systemd - manager` 是 systemd 系统和服务管理器的核心部分。它是 Linux 系统的初始化系统和服务管理器,负责系统启动、服务管理、资源管理等任务。它以 PID 1 运行,是所有其他进程的父进程,控制着系统的启动顺序、服务的启动和停止等。 ### systemd - resolved.service `systemd - resolved.service` 是 systemd 提供的 DNS 解析服务。它为本地系统提供了一个缓存的、异步的 DNS 解析器,支持多种 DNS 协议,如 DNS、DNS-over-TLS 等。可以提 DNS 解析的效率和安全性。 ### user@1000.service `user@1000.service` 是为用户 ID 为 1000 的用户启动的用户会话服务。在 Linux 系统中,每个用户都有一个对应的用户会话,该服务负责管理该用户的会话环境、启动用户级别的服务等。 ### systemd - logind.service `systemd - logind.service` 负责管理用户登录会话和座位(seat)。它跟踪用户的登录和注销,管理用户会话的生命周期,处理系统的电源管理操作(如关机、重启、休眠等),同时也负责管理用户的权限和资源分配。 ### systemd - networkd.service `systemd - networkd.service` 是 systemd 提供的网络管理服务。它可以自动配置网络接口,支持多种网络配置方式,如 DHCP、静态 IP 等。它与 systemd 集成紧密,可以根据系统的启动顺序自动配置网络。 ### unattended - upgrades.service `unattended - upgrades.service` 是一个自动升级服务,用于在后台自动下载和安装系统的安全更新和其他重要更新。可以确保系统始终保持最新的安全补丁,减少系统被攻击的风险。 ### 选项 ‘none of the above’ 含义 “none of the above” 通常在选择题或选项列表中使用,表示上述所有选项都不符合要求。在这种服务相关的上下文中,如果在某个配置或选择场景中出现该选项,意味着提供的所有服务选项都不是正确的选择。 ```bash # 查看服务状态 systemctl status systemd-journald.service systemctl status systemd-resolved.service # 停止服务 systemctl stop systemd-journald.service # 启动服务 systemctl start systemd-journald.service # 设置服务开机启动 systemctl enable systemd-journald.service ```
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值