阿里云服务器中xmrig矿毒

最新推荐文章于 2025-02-21 16:44:44 发布
最新推荐文章于 2025-02-21 16:44:44 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 疑难杂症 文章标签: redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35692783/article/details/120517450
版权
博主在访问云服务器时发现命令输入延迟,通过top命令发现xmrig进程占用大量CPU资源,疑似因未设Redis密码导致的挖矿软件。尝试使用kill-9命令无效,发现进程不断重生。进一步查找进程源并删除相关文件后,成功阻止了进程再生。博主还将检查是否存在定时任务以防病毒再次下载,并将持续关注情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天访问云服务器的时候,命令输入很慢,于是输入top查看进程运行情况,发现有个名叫xmrig的进程占用CPU占90+%以上。
在这里插入图片描述
百度查了一下发现是挖矿的,应该是上次安装redis后没设置访问密码的原因。
先是尝试用 kill -9 进程ID 杀掉,结果又有新的xmrig产生了,于是就查看这个进程的执行文件在哪里,然后把这个目录下的文件全都删掉。
/proc/进程ID/exe
rm -rf /root/.c3pool
在这里插入图片描述
输入top之后发现还存在,再次尝试kill,成功杀死并且没有新的进程产生了。
在这里插入图片描述

网上说可能会有定时任务一直下载新的矿毒,但我输入命令之后并没有发现,等后面几天看看情况。

解决挖(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7614
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖。也就是说别人利用你的电脑挖。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis
记录一次unraid中经历(xmrig
qq_30769517的博客
07-11 1415
最后决定按文件修改时间来看被修改的项,同时一一修复(蓝框中均为 3:05分,截图时在我删除文件后)再把ssh中公钥、密钥删除,避免被远程连接,删除wireguard文件夹。成功,CPU功耗马上下降,但是几分钟后,CPU负载马上起来,重启也没用。删除文件及文件夹后重启即可,恢复正常(也许今晚又被拉满,不是)先清理u盘中config下go文件,去掉wireguard。重启后还能继续运行,查看unraid系统日志。root执行,没找到对应日志,先将小主机关机,下班再研究。查看定时任务,也没有异常。
阿里云服务器中招挖XMrig miner解决方法
Starbme_2018的博客
03-18 1万+
今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划,确实自从上次中后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面,发现XMrig miner.exe cpu进程占用高达80%以上,cpu总占用达到99%,查了下时间是昨天十点开始进程占用率奇高的,因此我知道头痛的事情又来了:挖又回来了。。。 查了一下告警信息,如下: 该告警由如下引擎检测发现:...
服务器遭遇xmrig
康小虎的博客
12-25 4344
发现问题: 在自己买的阿里云服务器上部署的项目之前就偶尔会自己kill掉,一直没有在意,重启项目后继续使用。但是昨天重启后一直被kill掉,根本没法正常启动,用top命令看了一下,发现一个奇怪的进程一直占用CPU在50%左右,然后去阿里云控制台看了一下,最近一个月CPU使用率几乎都接近100%。最后上网查了一下,xmrig是一款挖 解决问题: 百度了一下暂时解决了,基本跟阿里给的方案一样。直接看看阿里售后的说法: 1、首先看一下为什么阿里云没有安全提示 ![在这里插入图片描述](https:/
xmrig解决办法
最新发布
zqh15730733676的博客
02-21 553
1、找到xmrig文件,删除里面的挖脚本,然后执行chattr +i /path/to/folder ,杀死进程。如果linux服务器上发现了xmrig,删掉文件,杀死进程之后又出现了,怎么都解决不了可以试试以下方法。
云服务器CPU一直高占用,病排查,服务器被黑,服务器中挖,挖xmrig排查及解决
zhazha0807的博客
03-04 5223
收到阿里云发来的通知“【挖处置通知】请尽快整改云服务挖活动”,"经检测您的阿里云服务器上存在疑似挖活动……";盖帽的话不说了,直接上排查思路及解决方法; 1、先用top命令查看一下服务器资源情况,发现一个进程一直持续cpu:200%;记录下pid。然后先skill 掉试试,cpu恢复正常后,马上又启动了新进程; 2、然后推测是有定时任务或者某些机制进行触发的启动,先检测一下定时任务: 这里注意使用:crontab -l 查询到无定时任务,然后由于进程的User是 git ,然后换成: cro
阿里轻量服务器xmrig排查处理
ZHUMUYI0的博客
12-04 2106
本人的轻量服务器没有在运行的应用,纯用来当部署用的公网测试机,突然发现其中一颗CPU核心使用率已经到100。
服务器集体中事件 xmrig trace 挖
枫小秋 的博客
01-05 7548
事件简述: 2019年12月22日,我们服务的一个客户服务器大面积提示被用于“挖”,随即我们便进行了病的清理,但病的来源通过我们原有实施的监控和安全检测中并未能发现。事前我们在服务器的远程登录上限制了只允许VPN+堡垒机登录,对服务器的各方面性能、所有人员的风险操作以及可能通过web渗透的异常登录和执行行为均有监控和告警,但这次在服务器监控和安全监控中我们却未找到任何端倪。 发生这次事件...
记一次服务器被挖的排查过程:xmrig
矮矮的夏祭的专栏
07-11 1万+
服务器被挖,记录一下清除xmrig的解决过程
最新挖xmrig清除方法和原理
m0_73140589的博客
03-21 6564
手机端接收短信提醒,服务器正遭受挖攻击,服务器的cpu和内存占用高,阿里云不断告警
博客被挖程序xmrig入侵以及我的解决方案(docker安全)
马赛琦的博客
09-03 8480
文章记录了一次由于Docker配置的漏洞导致的挖程序入侵的发现过程以及解决方案。由于本人时间有限,没有时间去深度学习linux的相关运维知识,所以解决方案可能是比较浅显的,还望您在阅读本文前知悉。 前言 2019年9月2日凌晨,我正准备关闭电脑睡觉,突然收到阿里云的一条短信,说是服务器被挖软件入侵了,一开始我是不相信的,就我这草履虫一样的网站,应该没有任何会来才对啊,后来查看了一下阿里云后...
gitlab漏洞导致服务器被植入挖程序
u013662310的博客
12-01 3685
gitlab版本升级GitLab rce (CVE-2021-22205) 服务器上gitlab又被利用来挖程序xmrig: 在蜜罐社区,安全威胁情报周报(21.11.13~21.11.19)看到捕获的gitlab漏洞 GitLab rce (CVE-2021-22205) 影响的 GitLab版本: 11.9 <= GitLab(CE/EE)< 13.8.8 13.9 <= GitLab(CE/EE)< 13.9.6 13.10 <= GitLab(CE/EE)&l
服务器被植入挖-xmrig
weixin_53299145的博客
09-24 2798
今天早晨登录宝塔面板发现服务器CPU占用率和内存都爆满了,赶紧检查一下服务器的进程使用top命令查看服务器的cpu和内存占用情况。
阿里云dos木马及xmrig
xn1014的博客
01-30 430
删除定时任务cat /etc/crontab,cat /var/spool/cron,删除脚本。修改定时任务权限 chattr +i /etc/crontab。top |grep dos,查询出pid。kill -9 pid杀死进程。找到对应的exe木马位置。rm -rf 删除木马。
记录一次处理centos7服务器被植入Xmrig问题
qq810908892的博客
05-19 1278
现象CPU占用100%,内存占用不大,top命令没有占用CPU很大的进程,有个名称为xmrig,但占用CPU很小 安装unhide软件,并使用unhide proc命令,查找出隐藏进程,查出很多进程 kill 任意一个进程,CPU马上降至个位数,但重启服务器之后,又到100%,猜测被注册为系统服务了 第二步查出很多进程,但是他们的command、执行路径等都一样,一般第一个为主进程 systemctl status 主进程ID,查出是哪个系统服务,kill -9主进程ID,删除服务
Linux服务器清除xmrig详细教程
似梦初觉的博客
11-04 1万+
近期遇到很多小伙伴在咨询服务器CPU被占满,排查后发现中了xmrig,并且通过kill 杀掉进程后,还会自动启动。这是由于只是停止了xmrig的进,没有彻底删除病文件,导致会病会自动重启进程。
阿里云服务器被挖
weixin_44034675的博客
05-31 1659
新增SSH端口——>重启sshd服务——>添加防火墙规则——>尝试新端口登陆——>关闭原先的22端口——>增加ip白名单。dr-xr-x---. 8 root root 4096 3月 19 15:57 ..drwx------ 2 root root 4096 3月 18 14:47 .drwx------. 2 root root 4096 8月 9 2019 .- 删除i属性使文件 /etc/passwd和 /etc/shadow具有相同的属性。控制台会自动断开之前使用端口22产生的连接。
无意间发现我的一台云服用器中了xmrig,哎!!
热门推荐
kevin的博客
06-11 3万+
机自己平时用来做测试的一台机器,所以也没做什么防护,今天上去无意见看到有一个xmrig进程cpu 99%, Xmrig是啥? 原来是机,还用的root干的,我花的银子买的机器,天天给人挖, 好不爽啊!!! 看一下在哪里 /proc/27336/exe 都跑一个月了。。。。 kill -9 27336 先灭了再说! 吓得我赶紧修改root密码 还没...
无意间发现我的一台云服用器中了xmrig,续!!
kevin的博客
06-13 1万+
接上 无意间发现我的一台云服用器中了xmrig,哎!! 上次没根除接着来! 看一下是不是设置了定时任务:这里要注意一下,我一开始 crontab的时候没有指定用户(我是用ubuntu用户登陆的),没有看到这个任务,以为没有问题,不指定用户列出的是当前用户的任务,编辑也是同样如此. 果然,去下载了一脚本执行! 打开看看 就是你了! 这段脚本也比较简单好理解大概意思:清清本地...
阿里云服务器远程管理工具套装使用指南
描述中提到“阿里云服务器远程桌面全家桶”,表明这些工具与阿里云服务器的远程管理相关。阿里云是中国领先的云服务提供商,提供包括计算、存储、网络等在内的多种云服务。远程桌面全家桶则指的是将这些工具组合使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值