Linux服务器挖矿自检

原创 于 2025-08-04 08:25:59 发布 · 348 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维

Linux服务器挖矿自检

1、检查系统资源使用情况

#查看CPU使用率高的进程
Top

在这里插入图片描述

# 查看CPU使用率汇总
sudo yum install sysstat 
mpstat -P ALL 1
# 检查内存使用情况
free -h

2、检查异常进程

# 查看所有运行中的进程ps auxf
ps auxf
# 查找可疑的进程名(常见挖矿软件相关关键词)
ps aux | grep -E 'minerd|miner|monero|xmrig|cpuminer|nicehash|stratum|minexmr|pool'

3、检查定时任务

# 查看当前用户的crontab
crontab -l

在这里插入图片描述

# 查看系统crontab
ls /etc/cron*/*
cat /etc/crontab

4、检查系统服务

# 查看所有系统服务
systemctl list-units --type=service
# 检查可疑服务
systemctl status [可疑服务名]

5、检查网络连接

# 查看所有活跃连接
ss -antp | grep ESTAB  
# 查看所有网络连接及对应进程
 lsof -i -P -n

在这里插入图片描述
在这里插入图片描述

6、检查系统日志

# 查看系统日志
journalctl -xe
cat /var/log/syslog
cat /var/log/messages
# 查看auth日志
cat /var/log/auth.log | grep -i "accepted"

7、检查用户和登录记录

# 查看当前登录用户
who
# 查看登录历史
last
# 查看异常用户
cat /etc/passwd

在这里插入图片描述

8、检查系统文件

# 查找近期被修改的文件
find / -mtime -7 -type f -print
# 查找可疑的隐藏文件
find / -name ".*" -type f -print

9、使用专业工具检测

# 安装并使用chkrootkit检查rootkit
sudo yum install chkrootkit -y
chkrootkit

在这里插入图片描述
在这里插入图片描述
ClamAV(病毒扫描)

#安装
sudo yum install clamav -y    
#全盘扫描,发现病毒时响铃提醒
sudo clamscan -r --bell -i /
Linux入侵检查思路及防御
墨痕诉清风的博客
08-14 1377
使用iptables或者配置/etc/hosts.deny 和/etc/hosts.allow进行白名单设置 可以对/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow等用户信息文件进行锁定。在目录**/etc/rc.d/init.d**下有许多服务器脚本程序,一般称为服务(service),当想要启动某个脚本时,只需要将可执行脚本丢在/etc/init.d目录下,然后在/etc/rc.d/rc*.d中建立软链接即可。
挖矿检查及处理
qq_29005979的博客
02-19 810
挖矿检查 /var/log/secure日志中存在大量密码错误登录信息(打开后有一堆信息,好像是有直接查看的命令来着) 执行pam_tally2,存在大量用户错误尝试密码信息 系统存在未知的高CPU使用率进程; /var/spool/cron/目录不为空,且文件中存在未知程序; 执行lsattr $(which ssh)出现i或者a等属性(root失陷); 使用root执行netstat -antp,出现大量目的地址不明的连接。 Linux服务器挖矿病毒处置与加固步骤: 重装系统,如果数据盘独立分区,
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 2023
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序。
服务器挖矿后如何排查处理
琪琪的博客
08-07 1万+
挖矿会使服务器硬件资源,如:CPU、内存消耗极大
如何检查并清除挖矿程序
haodoubi的博客
02-19 9380
1.检查cpu使用率 根据cpu使用率曲线确定2.11日可能被注入挖矿程序,根据top确定挖矿程序进程kdevtmpfsi 2.确定挖矿进程源程序位置 find / -name kdevtmpfsi ll 查看安装时间,对比cpu突然拔升时间 3.检查psadm2用户的合法性 4.检查root或者psadm2用户下是否有定时挖矿的复制文件任务 crontab -l crontab -r 删除定时任务 5.杀死挖矿进程 pkill kdevtmpfsi 6.删...
DisCrypto:面向Linux服务器的智能挖矿活动检测系统
2503_90553674的博客
03-01 824
在数字化安全威胁日益复杂的今天,一种新型的网络攻击正在企业服务器中悄然蔓延——。攻击者通过漏洞入侵服务器后,植入挖矿程序将计算资源转化为虚拟货币收益,这种被称为"加密劫持"(Cryptojacking)的攻击方式,正在成为服务器安全的隐形杀手。今天我们要介绍的,正是专为Linux环境设计的下一代挖矿活动检测解决方案。另外,本产品向任何购买Neuron Forge相关服务的企业或个人免费提供。
应急响应--Linux操作系统入侵检查思路及防御方法(详细)
qq274575499的博客
08-27 1193
应急响应--Linux操作系统入侵检查思路及防御方法(详细)
应急响应——Linux入侵排查
negnegil的博客
09-16 9571
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。 排查思路 (1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。 (2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。 (3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。 (4)检查linux的启动项和系统的
服务器启动障碍攻克】:一步步解决启动难题,恢复服务器正常运转
服务器启动流程对于保证系统稳定运行至关重要,但启动问题的复杂性常常导致系统无法正常启动。本文详细探讨了服务器启动过程中的关键步骤,并分析了硬件故障、软件冲突以及系统文件损坏等常见的启动问题类型。通过...
linux应急常用命令+技巧总结
渗透测试教程
03-12 564
常用命令 top # 命令可以直接看到进程实时情况。 ps aux --sort=pcpu | head -10 # 查看cpu占用率前十的进程,有时候可以发现top发现不了的东西 netstat -anpl # 检查当前存在的连接与监听端口 ps -ef #查看当前系统上运行的所有进程与其使用的命令 w # 查看活动用户 who # 查看当前登录用户(tty 本地登陆 pts 远程登录) /var/log/utmp last # 查看用户登录日志,查看我们系统的成功登录、关机、重启等情况 /var/l
[安全实战] 服务器挖矿病毒“大扫除”:检测、清理与后续加固指南
最新发布
Clownseven的博客
05-14 1264
服务器CPU异常飙高?风扇狂转?可能是挖矿病毒!本指南详解如何在Linux服务器上检测、尝试清除加密货币挖矿病毒,并提供关键的安全加固措施,防止再次感染。
164、应急响应——挖矿脚本检测指南&样本定性&文件清楚&入口修复
qq_55202378的博客
03-27 4076
这台服务器开放了web服务,直接用河马扫描是否存在后门,对比挖矿脚本上传的时间和后门存在的时间,再结合日志分析,判断谁访问了后门路径。被植入挖矿脚本会显示异常的连接,将远程IP放到威胁情报中心(如微步在线、奇安信威胁情报中心)进行检测。删除进行,下面这个图就是竞争型挖矿脚本,它会杀死其他挖矿病毒的进程。挖矿脚本里面,通常有一个配置文件,文件中会记录攻击者的IP和钱包。挖矿的前提是,黑客已经取得了你电脑的权限,如何取得是重点。判断被植入挖矿脚本,最重要的是看CPU和GPU占用情况。记录挖矿脚本存在的时间。
解决linux挖矿病毒
chen_jianjian的专栏
07-13 1万+
服务器服务不响应 有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常 获取病毒绝对路径 [root@localhost ~]# cat /proc/17521/cmdline wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe lrwxrwxrwx. 1 root root 0 7月 13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c393.
【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 3670
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析,排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
服务器中了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。 现将清除挖矿病毒的步骤梳理如下: 1. 检测服务器是否有挖矿病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
CPU占用率爆满,服务器遭遇挖矿如何排查
山河已无恙
03-03 5202
太用力的人跑不远, 真正坚持到最后的人靠的不是激情,而是恰到好处的喜欢和投入。
服务器中了挖矿病毒的检测及删除方法
penriver的博客
12-13 9251
本文提供了服务器中了挖矿病毒的检测及删除方法,供有需要的IT人员使用。 最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器中了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。
关于服务被挖矿程序minerd入侵解决方法
热门推荐
Hu_wen的专栏
07-14 5万+
今天一早过来,运维同事发现服务器的负载有点异常,打开top一看,发现有个进程一直占用很高的cpu 在opt目录下发现有个异常文件,是个命令文件minerd 在确定跟项目不相关的情况下判断是个木马程序,果断kill掉进程,然后删除/opt下minerd文件 本想这样可以解决,谁想不到15秒时间,又自动启动起来,而且文件又自动创建,这个让我想起了crontab的定时器,果然运维
记一次排查挖矿进程(dbus,autoupdate)
weixin_43568232的博客
07-28 2342
线上服务期cpu高达60%,服务器配置32个逻辑cpu,日常cpu最多也就10%左右 开始没有怀疑是挖矿进程,毕竟cpu没有飙到100 本人虽说不是专业运维,前后也遇到过四五种漏洞导致的挖矿进程(jenkins,xxlJob,redis等) 既然漏洞的大门是我打开的,那就要由我来关上 中了挖矿病毒,只杀挖矿进程是一定杀不干净的,必须找到该挖矿病毒是从哪个漏洞进来的, 漏洞修复后,再把相关进程及文件清掉,挖矿病毒才会被消灭干净, 当cpu彪高影响线上,可以先把挖矿进程kill,把cpu降下来,再排查问题出在哪
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

twdnote

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值