【Ubuntu】记一次.system病毒的发现

原创

已于 2024-10-08 11:56:52 修改 · 531 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#ubuntu #linux #运维

于 2024-08-29 14:02:55 首次发布

                    
                        
                    
                    【Ubuntu】记一次.system病毒的发现 
【问题发现】阿里云服务器报警CPU占用100% 
【问题排查】 
直接使用ubuntu自带命令top查看进程，但是只看到CPU占用了100%，没看具体是哪个进程引起的
辗转搜索发现btop更好用，且看到的会更多，于是下载安装安装btop # 下载压缩包
wget https://github.com/aristocratos/btop/releases/download/v1.2.13/btop-x86_64-linux-musl.tbz
# 解压
tar -xvf btop-x86_64-linux-musl.tbz
# 进入解压后的文件夹，进行安装
cd btop
# 指定安装的目录
make install PREFIX=/opt/btop

                

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

刘斌Eric

关注关注

4
点赞
踩
10

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Ubuntu18.04 进程和cpu占用都正常,中了kdevtmpfsi（B特B）挖矿M马B毒

本博客，博文仅代表个人操作经验，不能完全解决你的问题，仅供参考，佛系回复。

08-02

2054

Ubuntu物理机服务器SHA1文件大小3710448字节SHA256文件类型elf恶意类型挖矿病毒家族/团伙。

【实战】记录一次服务器挖矿病毒处理

weixin_45694388的博客

07-25

1818

信息收集及kill：查看监控显示长期CPU利用率超高，怀疑中了病毒 top 命令查看进程资源占用： netstat -lntupa 命令查看有无ip进行发包 netstat -antp 然而并没有找到对应的进程名查看java进程和solr进程 ps aux ：查看所有进程除相关进程：kill -9（无条件退出进程）为了防止有定时任务，再次启动恶意进程 crontab -l 命令查看正在进行中的定时任务 crontab -r 删除所有定时任务居然没有？？？？保存样本，删除

参与评论您还未登录，请先登录后发表或查看评论

【解决Ubuntun系统某病毒】绞杀CPU高占用率病毒

weixin_41469023的博客

01-25

2128

起因：最近一台ubuntun20.04服务器上运行python程序没多久就莫名其妙被杀死了，百思不得其解，得知貌似是中了挖矿病毒——top指令显示有一个诡异的CPU高占用率的进程，被杀死后过不久还会恢复，而且进程号改变。如图杀他！大家都劝我直接重装系统省心，我不想这样，想看看怎么直接解决问题。没有重装电脑解决问题，我很开心。不是计算机科班出身，具体原理不是很懂，似懂非懂的把病毒给杀了。写这篇博客是想记录找问题，解决问题的思路算是给自己或他人一点提示吧~

ubuntu病毒.report_system 占用100% CPU

jekc2008的专栏

08-29

1368

查看进程。

Ubuntu 下的 tsm 病毒清除

纠缠AI的亮子

12-05

548

好长时间一直有个tsm进程消耗了20～30% CPU，杀掉没多久又重来。它还会带来另外一个kswapd0进程，直接把CPU消耗完。今天终于消灭了它！清除方法：删除下面的文件 /var/lib/postgres/.ssh/authorizd_keys /var/lib/postgres/.configrc/ 目录下的全部文件 /var/spool/cron/crontabs/posgres ...

Ubuntu系统被木马程序攻击，运行莫名进程杀掉又自动重启解决办法

陈嘿萌的博客

11-09

940

④在/home/下TM的还会生成隐藏文件！用ls -a查看，然后再rm -rf ./.* 全部删除！根据进程找到目录，然后全局查找该文件名，接下来通过 rm -rf 指定目录全部删除！我发现我的系统被新建了很多用户，在系统设置用户中删掉多余的用户。nvidia-smi：存在莫名的./java程序，kill掉也会重启其它木马进程，先不要动它。主要思路：根据进程号找到对应运行程序的文件目录，然后全局查找并删除所有相关文件。③ 检查/home/下有没有多余的用户或者进程文件，全部删除！

记录一次ubuntu服务器CPU占用100%的问题排查过程

ideaoverflow的博客

05-02

9603

最近在ubuntu服务器上跑深度学习的训练程序，运行一段时间程序就会被kill，给实验带来了不少麻烦。作为linux小白，着实是被这个问题困扰了一段时间，现将最后成功的方法记录下来。关于这类问题，最常见的原因是系统内存不足，触发了OOM killer。于是先用htop查看系统的资源使用情况：发现系统内存仍然是充足的，但是所有CPU核心都是100%占用。所以应该不是内存不足的问题，而是因为CPU爆满了。CPU主要是被一批“python”进程占用了。尽管这批进程的启动命令都显示为“python”，但没有参

Ubuntu9.10教程指南 pdf.zip

03-31

Ubuntu 9.10，代号“Karmic Koala”，是Ubuntu Linux发行版的一个重要版本，发布于2009年10月。本教程指南旨在帮助用户熟悉这个操作系统，提供安装、配置、安全性和日常使用的详细指导。下面将对Ubuntu 9.10的关键...

ubuntu搭建jira破解版导致中病毒kdevtmpfsi处理过程

热门推荐

陈艺荣

01-15

1万+

本文讲解了笔者在2022年1月份进行挖矿病毒杀毒的完整过程！

Ubuntu18.04 下kthreaddi病毒处理记录

我叫小麻的专栏

07-15

708

1、初步检查：由于数据库postgres账户通过默认端口号被破解然后启动了病毒 2、第一次处理 postgres账户下的定时器及定时器对应的文件清除查找进程对应文件的位置的指令：sudo ls -l /proc/进程号（PID）/exe 3、第二次处理首先进程处理 a、监控kthreaddi程序，一旦启动就删除 b、期间发现一直重复出现 4、第三次处理怀疑一直有一个程序启动kthreaddi程序，通过top | grep postgres指令发现一个可疑的vz...

Linux的一些知识（9）

weixin_45866849的博客

09-27

1429

1. Linux定时任务的介绍和使用 2. date 命令的学习

CentOS7系统目录详解

何哥的博客

06-20

3899

1、Linux 文件类型 LINUX有四种基本文件系统类型：普通文件、目录文件、连接文件和特殊文件，可用file命令来识别。　　　　普通文件：如文本文件、C语言元代码、SHELL脚本、二进制的可执行文件等，可用cat、less、more、vi、emacs来察看内容，用mv来改名。　　　　目录文件：包括文件名、子目录名及其指针。它是LINUX储存文件名的唯一地方，可用ls列出目录文件。　　　　连接文件：是指向同一索引节点的那些目录条目。用ls来查看是，连接文件的标志用l开头，而文件面后以...

使用spool的注意事项

Bill好想

05-29

9476

对于经常操作Oracle的人来说，对spool肯定不陌生。但是里面也有几个小的注意事项，要多加谨慎，小心被坑了。 1、spool如果不指定文件的后缀名，则会自动产生后缀名“.lst”。曾经在shell脚本中，sqlplus连上去之后，spool一个文件，然后用shell去操作它，结果找不到文件，最后发现，spool出来的文件名字里多了一个后缀“.lst”，被坑了，从此使用

Linux /var/spool/cups下的文件是打印缓存文件，由cupsd进程控制打印完后删除

JiaYu_Guo的博客

01-11

3650

Linux 文件夹/var/spool/cups下的文件是打印缓存文件，由cupsd进程控制打印完成后删除，现在已经做了一个守护进程监控这个文件夹，一有文件就复制出来，但是发现复制出来的文件没有内容，怎么解决，C编程??

linux系统性能监控--内存利用率

weixin_34307464的博客

10-12

274

Linux提供了对物理内存进行合理、高效的访问并可以访问潜在的海量虚存的技术。虚存通常稍多于操作系统实际拥有的内存容量，以便将较少使用的数据卸载到磁盘存储器上，同时又呈现出系统拥有大量物理内存的假象。糟糕的是，卸载内存的开销可能会比应用延迟高出数十甚至上百倍。如果被换出到磁盘上的内存空间是错误的内存页，或者如果应用程序的当前内存印迹大于物理内存容量的话，那么这些过高的延迟会极大地影响应...

CentOS系统下文件夹目录结构及其作用

通然物联官方账号

04-03

4598

CentOS系统下各文件夹的作用

挖矿病毒清理记录（隐藏进程处理）

深耕AI领域，专注中、高人工智能领域发展；同步研究电磁学及超导材料、量子力学；关注能源发展和技术，同时进行医学创新

05-21

785

top命令查看cpu总占用率已超50%，但单独的进程加起来未超10%，怀疑有隐藏进程。监控一段时间后，发现CPU占用率恢复到正常水平，异常进程也未启动。在ecs中配置出访拒绝该ip出访请求。发现有异常进程CPU占用率近50%阿里云ECS报CPU预警。

一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现（含靶场环境）

W小哥

03-01

9283

一、SSH协议介绍 SSH（Secure Shell）是一套协议标准，可以用来实现两台机器之间的安全登录以及安全的数据传送，其保证数据安全的原理是非对称加密。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议，主要用于给远程登录会话数据进行加密，保证数据传输的安全。危害： SSH口令长度太短或者复杂度不够，如仅包含数字，或仅包含字母等，容易被攻击者破解，一旦被攻击者获取，可用来直接登录系统，控制服务器所有权限。一、事件背景某天客户反馈：Linux服务器有异常连接，疑似被入侵。（真实案

掌握Ubuntu技巧：《Ubuntu Kung Fu》实用指南

文件信息虽然重复且缺乏详细描述，但从标题可以推断出这是一本关于Ubuntu操作系统的进阶指南或技巧集。 Ubuntu是一个基于Debian的开源Linux操作系统，以其用户友好的界面、强大的社区支持和定期更新而闻名。Ubuntu...