服务器病毒排查记录

最新推荐文章于 2024-11-06 10:29:19 发布
原创 最新推荐文章于 2024-11-06 10:29:19 发布 · 494 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #网络

金秋送爽,丹桂飘香,在这个已经逝去的秋天,我收获了酸爽。下面,以时间顺序记录此次服务器病毒排查过程。

8月第一周,服务器进入IDC机房,机器通过几台交换机,包括核心交换机,汇聚交换机,局域网交换机直接向外提供服务,用拟人化的手法形容服务器当时状态的话,叫裸奔。所以,处于网线另一端网络高手们,很容易通过工具扫描到这些服务器,而这个时候的服务器连本机的防火墙都没有打开。
防火墙是什么,防火墙是数据进入服务器的第一道关卡,执行的是iptables的策略规则来限制或放行进入服务器数据,其策略规则除了运维人员配置外,一些程序在安装的时候也会自动写入。
8月第二周,我将服务器资源分发给合作单位,提醒合作单位开启服务器本机防火墙,期间,我在某一次登录服务器的时候,发现cpu占用率飙到1900多,问题出现了。通常服务器资源如cpu和内存占用率爆表,大概率程序有问题,如程序死循环,磁盘占用突然暴增,也是程序错误,因为某些程序错误输出栈信息很多,会迅速挤占磁盘。而本次cpu报高是因为被安装挖矿程序了,也就是说中挖矿程序的表象之一就是cpu占用率很高,用top指令查看发现某个程序的CPU占用率很高,而这个奇怪的程序拥有奇怪的程序名称和奇怪的用户,用crontab -u 用户名称 -l就看到了下载挖矿程序被写入了定时任务,于是kill 进程,清理程序所在,清空并重启定时任务可暂时解决挖矿程序被入侵。
在这里插入图片描述

在这里插入图片描述

8月第三周,所以挖矿程序清理掉就ok了吗?当然不是,服务器被植入挖矿程序,实际上是服务器被入侵了,所以,接下来要走的就是防御。安装杀毒软件,比如安全狗;修改ssh登录端口;修改登录名称等等,而这些只是服务器本机做的安全防护,只是等级保护项目中一项而已。
所以,为了保证网络的外部环境,物理防火墙或者路由

最低0.47元/天 解锁文章

200万优质内容无限畅学
Ubuntu服务器宕机排查记录
qq_40907977的博客
03-10 7406
环境 :ubuntu 问题症状:服务器内存占用持续增长,性能低下,并发上不去,网络无法ping通,无法登录、无法操作,输入操作无响应。也就是说系统宕机了。 宕机原因 : 先查看线上服务日志,再通过分析Linux系统日志后, 出现内存不足,Linux出于保护机制。 排查思路:分析出内存泄露模块,分析出性能瓶颈,调优JVM 使用工具:jconsole、jprofiler 参考链接 : 服务器宕机排查记...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2694
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
记录内网服务器病毒查杀
m0_37742319的博客
08-15 787
看一下这点文件路径什么情况 果然发现一个复制文件然后启动后删除文件命令,先把cron.hourly下的文件都删掉。不容易啊,但是还没完现在还有一个问题服务器是如何被攻击进入的,执行文件又是如何放进来的还是没找到问题所在,继续排查。由于公司没有网络安全人员,导致内网服务器水深火热,偶然间发现了一个服务器病毒,查杀一下。果然啊没那么简单,说明病毒启动后把病毒文件给删了,应该是有第三方任务执行的。执行 kill -9 进程会瞬间重启,应该是有守护进程。再执行top 果然找到病毒进程。cpu占用783%!
服务器病毒怎么排除
weixin_35749440的博客
01-11 482
在排除服务器病毒时,首先需要确定病毒的类型。这可以通过运行杀毒软件或在线病毒扫描来完成。 一旦病毒类型确定,可以通过下列步骤来排除病毒: 备份重要数据: 在排除病毒之前,应先备份重要的文件和数据,以防止在排除病毒过程中数据丢失。 删除病毒: 根据病毒类型和所使用的杀毒软件的不同,选择相应的排除方法。可以使用杀毒软件来查杀病毒,或者手动删除病毒。 更新操作系统和杀毒软件: 确保操作系统和杀毒...
服务器在被病毒入侵时快速排出的方法
HoewDec的博客
09-08 782
例如,如果Linux系统的can / usr / bin / dpkgd目录中有ps,ss,lsof,netstat文件,如果存在,则可以确定存在木马。清理完服务器后,必须检查网站是否有恶意程式码及非法网页,找出网址所指网页的位置,看看网页程式码是否自行开发,否则基本上可以确定服务器是否被黑客入侵。4、检查服务器的登录记录,是否存在异常登录情况,及时修改更加复杂的密码或升级为高防御服务器,从而提高服务器的防御能力。1、检查服务器是否存在异常进程以及监控CPU的状态,若发现被木马病毒入侵则需及时进行清除;
linux服务器排查病毒纪实
weixin_30243533的博客
09-14 609
1. 前言 昨天邮件收到如下图所示: 啊,天啊,对于一个做前端开发的人来说,对服务器端的知识只略懂一二啊,黑客就知道欺负小白,入侵我的服务器。 一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否被入侵? 2. 判断Linux 服务器是否被入侵 所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的...
病毒服务器维护记录表,服务器和网站安全检查登记表.doc
weixin_34200416的博客
08-03 697
服务器和网站安全检查登记表网站全面安全检查登记表全面安全检查汇总表检查时间: 年 月 日检查单位操作系统检查数量和范围安全防护软件检查数量和范围Web服务软件检查数量和范围网站内容检查数量和范围系统安全漏洞检查数量和范围存在的主要问题:处理方法和结果:检查人负责人备 注:说明:检查方法和标准参照《第四军医大学网站安全检查技术规范》;存在的问题、处理方法和结果应描...
服务器被攻击排查记录
最新发布
hello__bug的博客
11-06 1224
第一时间没有用htop查看cpu,用top看着挺正常的,但是后面看htop,全是绿的,但是看不到那个进程占用了cpu,然后我怀疑是我的深度学习进程异常关闭,是不是产生了僵尸进程或者孤儿进程,然后把我的用户下的所有进程全部关闭了,依然无法解决。首先就是赶紧把密码给换了,然后就是想把test用户所有的进程删掉不过没用,再排查test用户目录下的文件,不过没什么收获,操作日志应该都被清楚了。我的深度学习的所有进程突然被killed,我以为是检修,后面发现好像简单的python代码可以正常运行。
服务器基本故障和排查方法
为了生活,不得不努力奋斗!
04-19 4865
服务器运维工作中遇到的问题形形色色,无论何种故障,都需要结合具体情况,预防为主的思想,熟悉各种工具和技术手段,养成良好的日志分析习惯,同时建立完善的应急预案和备份恢复策略,才能有效地应对和解决各类故障问题。服务器出现问题时,的确可能会引发一系列连锁反应,导致业务中断。
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 959
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
记录一次电脑中病毒后的排查过程
moxiaolin的博客
06-30 2477
对于病毒排查真的是一项很有趣的事情,你可以看到自己电脑内部正在进行的很多你所不知道的进程,让你知道哪些进程可以关闭以此来让出计算机资源,提高计算机性能。 病毒详情描述:该病毒在我本机内,当我登录qq之后,会在后台偷偷的发送一些病毒邮件给到一个指定的网站。而我全然不知,知道我qq被冻结之后,冻结原因是因为我发送垃圾邮件。 病毒邮件: 排查步骤: 一、通过cmd进入到命令行控制台,输入n...
记录公司测试环境zigw病毒查杀
Danielmumu的博客
02-27 310
这几天测试环境贼卡,打个war包都很久,top命令查看一下cpu,发现有个进程飚得超高 百度之参考该博文解决 https://www.cnblogs.com/t-road/p/10187004.html 但是还有遗留问题,发现公司测试环境网站一访问自己电脑的cpu就飙到百分之一百,按f12发现执行了很多挖矿脚本,将js导下来看发现所有js文件都出现了以下代码 通过find命令来查找存在...
linux DDos病毒查杀过程记录
dwl99的专栏
11-05 1715
shell> clamscan -r -i / 查出木马:/bin/pydcddfuia:Unix.Trojan.DDoS_XOR-1 1、查看/etc/cron.hourly  目录下的可疑.sh文件 ljjoamwmrybbx.sh gcc.sh 2、查看gcc.sh内容,木马源文件 /lib/libudev.so /lib/libudev.so.6 查看ljjoamwmryb...
记录一次杀毒过程
wind的博客
07-14 362
yayaya病毒查杀
如何实现主机加固
Canon_YK的博客
03-09 6278
服务器加固是给服务器上一把锁,业务系统的服务器都很脆弱,即使装了杀毒软件,部署了防火墙,并定时打补丁,但仍然会有各种风险,各种中毒,各种被入侵,核心数据还是会被偷窥、被破坏、被篡改、被偷走。所以要对服务器加固。 服务器安全加固系统,重新定义操作系统各模块的功能,构建独立的身份鉴别体系,在当杀毒软件、防火墙都不起作用时,仍然能顽强的对核心数据进行保护,防止木马病毒入侵,防止核心数据被偷窥、被破坏、被篡改、被偷走! 苏州深信达公司研发的MCK主机加固解决方案,可以完美的解决服务器的数据安全风险,方案的核心是
记一次服务器入侵事件的应急响应
小王的储物间
02-24 835
我们推测攻击者不止一个,并且都是通过SSH弱口令入侵服务器。事件时间线如下图所示:第一波攻击者可能是挖矿组织,在5月7日大概率利用SSH弱口令进入服务器上传挖矿程序somescript,且做了对应的维持手段。第二波攻击者可能是黑产组织,攻击时间为7月16日至7月17日,其操作是对网站做黑帽SEO,更改宝塔后台并上传大量后门。第三波攻击者应该只是想控制一批跳板机,在8月17日上传了代理程序,目前在服务器上出现的恶意事件最后截止也是到8月17日。
服务器病毒木马通用排查处理应急响应流程
it知识分享 free for nothing..
03-18 3837
服务器病毒木马通用排查处理应急响应流程
腾讯云如何判断服务器是否中毒以及如何预防中毒解决方法
戴维学长
04-01 2270
1、浏览器搜索腾讯云官网 2、点击登陆界面 3、选择自己的登陆方式 4、然后点击控制台 5、选择云服务器控制台或轻量型服务器控制台 6、选择自己服务器所在地域 7、如何查看是否中病毒 上图为轻量型服务器,云服务器点击监控即可,如果看到CPU或内存、以及带宽占用高达80%,那么联系客户问下服务器上占用资源最多的是否是自己的业务,如果不是那就是中病毒了 8、如何预防病毒 1.关闭不常用端口、只开业务端口 2.除了必要端口比如80/443端口外,可以修改默认端口,比如W
十个服务器中毒的常见特征及其检测方法
@云安全小杜
09-18 960
服务器作为企业的核心资源,其安全性至关重要。一旦服务器病毒入侵,不仅会影响系统的正常运行,还可能导致数据泄露等严重后果。以下是十种常见的服务器中毒特征及其检测方法。
【转】服务器挖矿病毒排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值