Centos7中病毒排查[tsm][kswapd0]

原创 已于 2022-03-03 16:36:07 修改 · 559 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2022-02-24 14:05:12 首次发布
本文记录了一次在CentOS7系统中进行病毒排查的过程。通过检查`last`命令、分析`/var/log/secure`、监控网络状态及进程,发现疑似病毒进程`tsm`。清理病毒目录、修改root密码、取消定时任务,并最终解决了CPU高占用问题。建议加强服务器安全,如使用密钥连接、关闭不必要的端口、设置复杂密码。 
  看一下主机的资源使用情况

在这里插入图片描述
先按照腾讯云文档给的建议走走

腾讯云文档url:https://cloud.tencent.com/document/product/296/9604

== last 命令无异常

less /var/log/secure|grep ‘Accepted’

在这里插入图片描述

查了一个ip,为美国的
看来是被攻击了,还是用root ssh上来的。----可能我的root密码太简单了吧
找找病毒在哪里
netstat -ntlp
在这里插入图片描述
貌似没啥问题呢
netstat -antlp在这里插入图片描述
7. 在这里看到了tsm这个进程,就连滚带爬的去看看这个程序的状态以及运行位置
在这里插入图片描述
貌似找到那个程序的问题了
与腾讯云描述的木马文件位置相符。准备copy一份到电脑上看看,一看好像是c写的
就放弃了。
下面我打算清掉这些东西
先去杀进程
在这里插入图片描述
删除病毒目录
在这里插入图片描述
查看并修改定时任务
在这里插入图片描述

crontab -e 全部清清清
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

好像没什么了

但是我的cpu并没有降下来
1)ps aux
在这里插入图片描述

  1. 再看下端口的使用情况
    连接的端口在tsm进程被干掉之后少了很多,现在我要看下除了标红的我自己,竟然还进程在跑
    在这里插入图片描述
    改个root密码先
    Passwd root xxxxxxxxxxxxxxxxxxxxxxxxx
    不知道谁啥情况
    在这里插入图片描述
    貌似还有残留
    在这里插入图片描述
    rm -rf /root/.configrc
    在这里插入图片描述
    在kswapd0的进程被杀掉之后,服务器使用率正常了
    在这里插入图片描述
    再看一眼端口的交互,我插,还有
    在这里插入图片描述
    kill -9 28501
    日了狗了,还要给,显示sshd的,到底是什么东西的

怀疑是这个进程,一看,是腾讯的进程
在这里插入图片描述

看一下开机启动
在这里插入图片描述
重启下机器在看看,发现程序外部通信了。简单的总结到这
我是小菜鸡,就是跟着进程找找目录,然后杀进程,清目录,清定时任务
安全建议

尽量用密钥连接服务器,禁用账号密码连接
封闭不使用的端口,做到用一个开一个(通过防火墙和安全组策略)
密码增强复杂性
及时修补系统和软件漏洞

【安全脚本】 centos 下的病毒木马查杀脚本
互联网老辛
09-04 4581
文章目录前言源码解释说明1) clamv 的安装方式2) 常用参数和命令后续总结 前言 病毒木马查杀脚本使用的是clamAV , 它是开源工具包,用于检测特洛伊木马,病毒,恶意软件,以及其他威胁。 特点: 安装使用简单,在centos6下yum安装即可,在centos7下也可以用yum,比6稍微复杂点 支持读写扫描 提供病毒数据更新 可以扫描档案和压缩文件 源码 #!/bin/bash DATE="$( date +%F )" LOGD="${WORKDIR}/log.d" RC=0 DIR=/ D
记一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 2000
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
一次centos7.3系统中病毒排查经历
V 云原生实践课堂
09-05 9360
      一个环境,突然使用很卡顿,于是用top查看什么进程占用了资源,发现进程中有大量b开头的进程,基本确定系统是中病毒了。 如上图,top显示大量b开头进程,进程号还不停的变。快速用lsof -p <PID>,查看一个病毒进程,结果如下 lsof的输出来看,病毒进程程序体被删除了。尝试用rm去删除程序体也显示无文件。 于是用ps命令查看进程情况,竟然发现无法列出...
记一次Linux Centos7病毒清理
-满心欢喜-的博客
08-10 1845
记一次在工作中测试环境下中病毒的处理解决办法
kswapd0
gRpc的博客
11-12 1114
swap分区的作用是当物理内存不足时,会将一部分硬盘当做虚拟内存来使用。 kswapd0 占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。...
Linux之在CentOS上一次艰难的木马查杀过程
weixin_33758863的博客
12-13 1019
今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程。 我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板。等我拿到权限之后进入机器,先按照朋友说的验证了一遍,果然是那样,木马有自我保护自我恢复。 这时候我想到一个问题居然是能自我开机启动,要么/e...
Centos7】解决 CentOS 7 中出现 “xx: command not found“ 错误的全面指南
寸铁的博客
06-02 4370
Centos7】解决 CentOS 7 中出现 “xx: command not found“ 错误的全面指南
CentOS7Oracle11gInstallHelper.zip
02-03
操作系统: CentOS Linux release 7.9.2009 (Core) Oracle: linux.x64_11g_11.2.0.4 脚本替我们做了哪些? * 创建oracle用户和组。 * 搭建图形化的操作环境:VNC远程。 * 防火墙放行VNC端口5901和Oracle默认端口1521...
centos kswapd0 挖矿木马病毒进程CPU100解决
1193379199的博客
01-20 1568
很多病毒都是有会在定时任务里面,以至于很难清理清楚。(由于我的服务器买油开启定时任务服务,所以里面没有任务)2.1 执行命令netstat -antlp | grep kswapd0 查询该进程的网络信息。主要是由于kswapd0进程在作怪,占据了99%以上的CUP,查找资料后,发现它就是挖矿进程。最好把木马程序和定时任务都清理完了再杀掉,要不然还会自动重启。1.在系统里面top一下,查看了所有进程。2.排查kswapd0进程。7.杀掉kswapd0进程。4.查看进程的工作空间。
centos7解决病毒入侵 getty
最新发布
qq_38215042的博客
08-26 615
【代码】centos7解决病毒入侵 getty。
centos7 运维之恶意进程
平头哥(Adger)的博客
02-18 1766
有时候服务器上会莫名奇妙出现一些进程占用极高cpu,导致服务器满负载,解决方式如下: 1. 使用top明亮查看服务器资源现状 2 查询进程信息: 命令: ll /proc/进程id 3. 删除执行文件并kill 进程 ...
应急响应-挖矿病毒kswapd0
weixin_45690589的博客
10-10 1504
应急响应-挖矿病毒kswapd0
检测centos服务器上的病毒或webshell感染文件的轻量化工具
ljk15036029526的博客
11-10 639
chkrootkit webshellkiller。
kswapd0进程占用大量cpu资源导致挂机
weixin_33788244的博客
08-04 1835
利用top查看, mysql 进程占内存很多, 90%以上, kswapd0 占cpu很多, 250%以上, 相应的mysqld, apache等占内存也很多. 因为是测试机, 开始以为是请求很多, 导致死机. 重启之后, 又很快的死掉了.今天反应系统后台有点慢查看kswapd0的作用, 它是虚拟内存管理中, 负责换页的. 事情大概清楚了, 因为机器内存只有1G, mysql...
CentOS 7 查看和控制进程
xgocn的专栏
04-24 4492
一、查看进程 了解系统中的进程状态是对进程进行管理的前提,使用不同的命令可以从不同的角度查看进程状态。 1、ps命令 ps命令是Linux系统中最为常见用的进程查看工具,主要用于显示包含当前运行的各进程完整信息的静态快照。通过不同的选项,可以有选择的查看进程信息。 a : 显示当前终端下的所有进程信息,包括其他用户的进程 u :以用户为主的进程状态 x :通常与 a 这个参数一起使用,显示当前用户在所有终端下的进程信息 -e:显示系统内所有的进程信息 -l :使用长格式显示进程信息 -f :使用完整的...
kswapd0 config.json 入侵解决方案
zhong8888888800的博客
02-21 251
Linux 入侵类问题排查思路 https://cloud.tencent.com/document/product/296/9604 https://blog.youkuaiyun.com/moshi_monian/article/details/107202560?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161880217316780271533202%2522%252C%2522scm%2522%253A%252220140713.130
Nginx异常关闭之中了挖矿病毒kswapd0
sunyanchun的专栏
08-12 457
困扰了接近一个月,偶然查询全部定时任务时发现: 5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1,很陌生的一个定时任务,确定自己及其他人没有加过,查询了一下资料是“挖矿病毒kswapd0”相关任务,赶紧查了一下服务器其它信息,确实中招了。3、加入每天自动重启Nginx任务脚本;隔几天还是出现异常关闭。用 rm -rf 命令逐条删除,rm -rf /root/.configrc5/*,或者rm -rf /root/.configrc5/a/kswapd0
centos7.6 yum安装clamav 进行病毒扫描查杀
ytfsksk的博客
08-10 4629
linux系统常作为服务器系统,已安全著称,linux系统病毒木马相对windows较少,基本上linuxt系统不安装杀毒软件。对于因为设置不当感染了病毒或木马,一般都是系统管理员手动分析进行查杀,手动查杀的工作量不仅巨大而且易残留,造成反复发作。 前不久管辖的一台centos7.6服务器不幸中了挖矿木马,手动查杀不能完全清除,只能借助杀毒工具进行扫描查杀,这里选择开源的ClamAV 杀毒软件,网上搜索了一大堆文档又是源码安装又是依赖安装各种步骤,各种配置改,非常麻烦,其实没有必要这么麻烦,直...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值