彻底清除SSHD挖矿病毒_清除定时下载启动病毒程序_centos7安全防护_CPU占用率超过百分之300_centos7.4中毒CPU百分之百_清理毒源---Linux工作笔记068

已于 2024-02-22 11:11:04 修改
阅读量922 收藏 1
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 测试&部署&运维实施 文章标签: sshd病毒 centos CPU百分之百 CPU百分之百 Linux中毒 centos中毒
于 2023-12-11 22:39:09 首次发布
本文为博主原创文章,未经博主 添柴程序猿 允许不得转载 违者追究法律责任。
本文链接:https://blog.youkuaiyun.com/lidew521/article/details/134936362

执行top命令的时候看到有个进程:

sshd占用cpu百分之300多...而且就算是kill -9 杀掉进程以后,进程又会自动启动

ll /proc/7298

我们执行这个命令,可以看到有个/var/tmp/sshd的文件

我们进入cd /var/tmp

然后我们执行

rm -rf sshd删除这个文件,然后我们再去top可以看到

cpu就没问题了.

杀死进程,然后去删除/var/tmp/sshd这个文件以后

了解本专栏 订阅专栏 解锁全文 超级会员免费看
linux】服务器sshd服务导致CPU负载过问题
qq_51417587的博客
05-20 1790
查看btmp日志,btmp日志是记录失败登录尝试的日志文件,通常位于 /var/log/btmp。当 btmp 日志过大时,可能会导致系统资被大量无效的登录尝试占用,影响正常服务的运行,比如 sshd 服务。一台服务器突然访问ssh特别缓慢,top命令查看后,服务器Load Average占用很。一开始就怀疑是不是服务器被恶意攻击了,这是一台sftp主机,正常情况sshd也不会负载这么,查看服务器内存,磁盘io都是正常,在用连接数也不多。日志清空后,Load Average逐步恢复正常。
腾讯云Linux服务器中毒, sshd恶意进程导致CPU占用100%
刘献强的专栏
06-15 5801
top 命令, 发现有sshd恶意程序运行, 导致CPU占用100% 2.3 加强防火墙 控制访问该linux的来IP, 因为是开发用的机器, 只要配置公司和家里的外网出口IP即可. 头痛, 做完 2.1, 2.2, 2.3 后, 恶意程序过一段时间后, 还是会重新下载到/var/tmp目录, 并运行. 最终, 无意中, 发现有恶意的linux定时任务存在, 删除即可!......
linux服务器中病毒
jinying_51eqhappy的博客
06-07 384
6. 设置/var/tmp一个无用的用户,并配置000等权限,让其不可执行;3.在/etc/ssh/sshd_config中配置指定用户可以创建ssh。top查看,现象时sshd线程cpu800%2.删除用户hadoop,创建新的用户;5. 定位到病毒在/var/tmp文件中。1.指定用户hadoop出现;
记一次linux服务器sshd占用CPU的问题排查
brimsullowr的专栏
06-16 9462
通过top命令查看进程,惊奇的发现,eureka用户下的sshd进程占用cpu达到了1569% 百度了一下,通过top -H -p 8856查看进程的线程信息, 可以看到这个进程有22个线程,其中有16个线程的CPU使用率达到了99%,难怪系统那么卡顿。 但是尝试kill 8856之后,过不了一分钟,进程又重新起来了。使用crontab -l也未看到有什么定时任务。no crontab for eureka 猜测sshd命令是否能被任意用户执行,于是which sshd,使用root将 /s
记录因sshd -n sshd-D引起的CPU占用的解决方案
qq_37278066的博客
12-25 1922
记录因sshd -n sshd-D引起的CPU占用的解决方案 服务器使用的是centos7操作系统,某日竟然宕机了。进入控制台使用top命令查看 这两个进程的cpu占用非常之,kill + pid后不久又会出来,查看两个进程的目录位于/usr/sbin。rm 'sshd -n’删除不掉,我去!使用chattr修改一下权限 提示没有权限,chattr也有问题。结合百度的一些前辈的解决办法总结了一下 解决方案: 1.chattr.c获得一个c文件,我是小白不知道怎么下载,直接新建一个txt把代码复制出来
linux sshd占用cpu并且crontab -e修改定时任务无效的解决办法
泥耳空间
06-11 1618
同样也是被修改了文件属性,我们继续上面的chattr -iRa /var/spool/cron/root操作后再执行crontab -e或者直接vim文件即可修改保存,删掉定时任务。这是中了挖矿病毒了,并且会持续运行,就算杀掉进程也会再次运行。此病毒不仅这两处设置定时任务,/etc/cron.d/ 下也有,建议查看所有定时任务配置文件,下面的文件夹都进去检查下。查看用户定时任务,我的只有root用户下被设置了,如果有多个用户建议每个都查看。清理完所有定时任务后,并且病毒文件都删除了,这才算清理完成了。
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 8295
kworkerds挖矿病毒排查过程 2019年3月2日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU; 第二种,使用...
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
weixin_54707168的博客
02-22 796
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
CentOS7系统基本配置及线上优化
崂山啤酒加冰的博客
07-11 1314
CentOS7系统基本配置及优化 一、磁盘选择和分区规范 - 磁盘选择(这里只介绍常用的几种组合) 系统盘:raid1 数据盘:raid5/raid1/raid10 raid 1 又称镜像Mirroring 2的n次方块 利用率50% 读写性能没有提 有备份,安全性 raid5 最少三块 利用率 n-1 读写速度快 交替完成 两块硬盘分别写入数据 另外一块当校验盘,安全性...
linux sshd cpu 问题解决
whatday的专栏
03-09 3616
通过top命令查看进程,惊奇的发现,eureka用户下的sshd进程占用cpu达到了1569% 百度了一下,通过top -H -p 8856查看进程的线程信息, 可以看到这个进程有22个线程,其中有16个线程的CPU使用率达到了99%,难怪系统那么卡顿。 但是尝试kill 8856之后,过不了一分钟,进程又重新起来了。使用crontab -l也未看到有什么定时任务。no crontab for eureka 猜测sshd命令是否能被任意用户执行,于是which sshd,使用root将 /s
宝塔sshd占用cpu解决教程
QQ56669388的博客
02-21 680
如果还没解决,+v: hezuome 帮助您彻底清除
sshd占用cpu
偶尔写些东西,意思一下我也参与了内卷
03-08 2121
记录下我这里出现的原因FinalShell 链接机器后从左侧的cpu占用图看到的,我进入机器执行命令确实如下;但是用finalShell链接我阿里云/腾讯服务器没有出现,可能是其他服务器的防火墙比较完善;
Linux【问题 02】腾讯云 cron、sshd 进程CPU占用超95%(亡命徒 Outlaw 僵尸网络攻击)问题排查及处理步骤
Java与大数据相关实践内容分享!
09-15 1569
Linux 腾讯云 cron、sshd 进程CPU占用超95%(亡命徒 Outlaw 僵尸网络攻击)问题排查及处理步骤
Centos7病毒[tsm][kswapd0] 被黑造成cpu,杀死自有排查
qq_25831105的博客
01-04 798
Centos7病毒排查[tsm][kswapd0] tsm被黑记录–记录 less /var/log/secure|grep ‘Accepted’ 查询登陆情况,一般会有异常ip登陆,而且会安装公钥在你机器上,后续会一直通过公钥登陆你的机器,你修改密码都没用,记得清理 ~/.ssh/authorized_keys 2.pwdx *** (通过top查到命令进程,然后通过该命令查询文件路径,然后删除他) 3.查看crontab -e 里面还有关联文件,会自启动,一并删除,并删除定时计划任务,然后
linux sshd 病毒清理
希夷的博客
06-27 917
开启flink web submit 引起sshd 病毒清理
Linux服务器挖矿病毒彻底清除与防护实操指南
boydoy1987的专栏
08-07 2464
Linux服务器在遭受挖矿病毒攻击时,会严重影响其性能和数据安全。本文将提供一套详细的操作步骤,结合实际案例,帮助您彻底清除Linux服务器上的挖矿病毒,并实施有效的防护措施。
linux centos7 解决挖矿病毒kthreaddk CPU占用
m0_66127371的博客
09-30 1987
病毒修复
(centos7)阿里云 ECS中毒CPU一直占用100%的解决过程
Gogym的博客
05-15 6755
这两天发现部署在阿里云上的ECS服务器的CPU一直占用100%,一开始以为只是偶然的,没在意。 后面发现CPU一直满载,这不应该呀。于是赶紧看看是怎么回事。 使用 top 命令查看cpu使用情况: 发现有一个 vTtHH1 的进程占用 200%的cpu,这是什么鬼,貌似哥不曾相识啊。 于是乎,通过命令 :cd /proc/32676 -> ll 查看这到底是什么玩意,...
centos7进入root没响应
最新发布
04-01
<think>嗯,用户遇到了CentOS 7中使用root登录后无响应的问题,我需要分析可能的原因和解决方案。首先,系统资不足可能是一个原因,比如内存或CPU过载,导致登录进程无法启动。这时候需要检查资使用情况,比如用top或htop命令查看。另外,磁盘空间满了也可能导致问题,尤其是根分区,可以用df -h检查。 然后,登录配置错误也不能忽视。比如/etc/securetty文件可能被误修改,导致root只能通过特定终端登录。需要确认该文件是否包含正确的终端设备,比如tty1或pts/0。还有PAM模块的配置问题,检查/etc/pam.d/login和/etc/pam.d/sshd是否有异常设置,或者用pam_tally2锁定账户的情况。 SSH服务的问题也可能导致无响应。比如sshd配置中PermitRootLogin被设为no,或者防火墙阻止了连接。需要检查/etc/ssh/sshd_config文件,并确保防火墙规则允许SSH端口。另外,SELinux的配置如果错误,可能会阻止登录进程,可以暂时禁用测试。 系统文件损坏也是可能的原因,比如关键系统文件被删除或损坏。这时候需要进入救援模式,用fsck检查和修复文件系统,或者重装核心软件包。内核崩溃或硬件故障也可能导致问题,查看/var/log/messages和dmesg日志,检查硬件状态。 解决方案方面,用户可以先尝试通过其他用户登录,或者进入单用户模式排查。需要逐步检查资、配置、服务、文件系统等方面,结合日志分析具体原因。另外,引用中提到的timedatectl可能不相关,但提到的系统漏洞[^3]提示要确保系统更新,安装安全补丁,防止已知漏洞导致的问题。可能还需要检查是否有恶意进程占用资,或者使用strace跟踪登录进程的系统调用,找出卡住的位置。</think>### CentOS 7 root登录无响应原因及解决方案分析 #### 一、可能原因分析 1. **系统资耗尽** - 内存/CPU过载:若系统资被占满(如通过`top`命令查看内存使用率超过95%),可能导致登录进程无法启动 - 磁盘空间不足:根分区(`/`)或`/var`分区满载时,系统无法创建会话文件 ```bash df -h # 检查磁盘使用率 ``` 2. **登录配置错误** - `/etc/securetty`文件被误修改:该文件定义了允许root登录的终端设备 ```bash cat /etc/securetty # 正常应包含tty1~tty6、pts/0等 ``` - PAM模块异常:检查`/etc/pam.d/login`或`/etc/pam.d/sshd`中的认证规则 ```bash pam_tally2 --user=root # 查看登录失败锁定状态 ``` 3. **SSH服务故障** - `sshd_config`配置错误:如`PermitRootLogin`被设为`no` ```bash grep PermitRootLogin /etc/ssh/sshd_config ``` - 防火墙阻断连接:检查iptables或firewalld规则是否允许SSH端口(默认22) 4. **系统文件损坏** - 关键文件丢失:如`/bin/login`、`/lib64/libc.so.6`等 - SELinux策略冲突:错误的安全上下文可能阻止登录进程 #### 二、分步解决方案 **步骤1:通过单用户模式进入系统** 1. 重启系统,在GRUB菜单按`e`键编辑启动参数 2. 在`linux16`行末尾添加`init=/bin/bash` 3. 按`Ctrl+X`启动进入单用户模式 **步骤2:排查关键配置** ```bash # 检查磁盘空间 df -h | grep -E '(/|/var|/home)' # 验证securetty配置 cat /etc/securetty | grep tty1 # 检查SSH配置 grep -E 'PermitRootLogin|PasswordAuthentication' /etc/ssh/sshd_config # 查看系统日志 journalctl -u sshd --since "10 minutes ago" ``` **步骤3:修复常见问题** - **案例1:磁盘空间满** ```bash # 清理日志文件 rm -rf /var/log/journal/* # 或扩展磁盘空间(需LVM支持) lvextend -L +5G /dev/centos/root xfs_growfs / ``` - **案例2:PAM账户锁定** ```bash # 重置登录计数器 pam_tally2 --user=root --reset ``` - **案例3:SELinux问题** ```bash # 临时禁用SELinux setenforce 0 # 永久关闭需修改/etc/selinux/config ``` **步骤4:系统恢复操作** ```bash # 重装关键软件包 yum reinstall openssh-server pam -y # 检查文件系统完整性 fsck -y /dev/sda1 # 更新系统补丁 yum update --security -y # 引用[3]中提到的漏洞修复方法 ``` #### 三、预防措施 1. 定期通过`timedatectl`[^1]检查系统时间同步状态 2. 配置`sudo`权限代替直接root登录 3. 使用监控工具(如Zabbix)设置资告警阈值
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

添柴程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值