服务器挖矿病毒解决ponscan,定时任务解决

已于 2024-04-11 15:19:59 修改
阅读量1.2k 收藏 28
点赞数 28
分类专栏: Linux 服务器 文章标签: 服务器 运维 linux
于 2024-04-11 11:45:57 首次发布
YBL520
本文链接:https://blog.youkuaiyun.com/weixin_45914944/article/details/137633056
版权
本文介绍了如何使用chattr命令处理被服务器挖矿病毒锁定的文件,包括修改权限、删除病毒文件和进程,以及处理被病毒影响的定时任务。作者详细描述了清除病毒、恢复文件属性和禁用crontab的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

服务器挖矿病毒解决ponscan,定时任务解决

在这里插入图片描述

挖矿病毒会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修改。然后覆盖掉它。

chattr.c

放到任意非root目录下,然后编译

cc chattr.c

在这里插入图片描述

mv a.out /usr/chattr

在这里插入图片描述

使用新的chattr文件修改被锁住的chattr。去除特殊属性 -i

cd /usr

./chattr -i /usr/bin/chattr

在这里插入图片描述

然后给新的chattr赋权限,并复制过去替代锁住的

mv chattr ./bin/chattr

在这里插入图片描述

查看修改后的属性,只要没有-i -a就行了

lsattr /usr/bin/chattr

在这里插入图片描述

安装需要的命令工具

yum install e2fsprogs

在这里插入图片描述

清除ssh登录公钥

cd root

ls

最低0.47元/天 解锁文章
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
一次挖矿病毒的排查过程
邓邓子的博客
06-06 583
由于重启前后,相关命令如ps、ls等都无法使用,最后重装系统!清除异常任务,重启服务器
crontab异常任务删除不了,清除挖矿病毒
最新发布
qq_34200979的博客
06-20 801
通过分析配置文件的内容,发现这些配置是用于设置某个加密货币矿机的参数,这证实了之前的猜测:这个异常程序确实是一个挖矿程序。命令查看用户的定时任务列表,果然发现了异常的定时任务。进一步调查后发现,这个定时任务是由一个位于国外服务器的IP地址设置的。此时虽然还不能确定这个异常程序是否为挖矿程序,但出于安全考虑,决定先删除这个定时任务。(可能是一个误写或自定义的进程名)的两个异常线程占用了大量的CPU资源,几乎导致CPU满载。编辑定时任务列表时,发现由于文件或目录的扩展权限设置,不允许进行编辑操作。
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件_应急dw(1)
2401_84263262的博客
04-11 1004
本文仅仅是简要概之此次排查过程,当然真实过程远比此复杂,但不方便一一描述。
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
xnxqwzy的博客
09-06 752
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
Lunix chattr命令被篡改 导致root无法编辑文件
baidu_38662087的博客
11-08 1938
Lunix服务器chattr命令失效,导致root也不能编辑某些文件,需要重装chattr解除限制
线上服务器突然崩了!?Jenkins 服务器中挖坑病毒解决方案
01-09
公元 2020/04/16 4:38 分,登录线上服务器,执行 top 命令执行,发现已经崩了… 我们的 Jenkins 数据是从广州研发部 copy 过来的,包括 job 和 plugins 目录,和广州确定了,下图三个项目和他们无关。 查看控制台...
张大哥笔记:服务器挖矿木马程序,该如何处理?
qq1369153265的博客
04-29 1046
挖矿是跟区块链以及虚拟币有关系,虚拟币是挖矿挖出来的,每间隔一段时间,比特币或者以太坊虚拟币就会在他们的区块链系统上生成一个块的随机代码,网络上的所有服务器都可以去找这个随机代码,也就是挖矿的过程对这个随机代码进行挖掘,谁挖到这个代码就会产生一个区块链的块,那么比特币跟以太坊就会奖励找到随机代码的人,奖励一定数量的虚拟币,那么挖矿的人就会有动力去挖矿,去维护整个区块链节点的网络正常运行,挖矿需要计算哈希值需要服务器的处理能力,所以有些攻击者利用入侵别人服务器来给自己挖矿获取利润。
SpringCloud 架构中关于分布式定时任务解决方案
专注基础架构领域
12-07 4148
有时候我们在开发过程中,很容易犯这样一个错误,就是在服务中写一个定时任务,然后也没做其它的处理就上线了。然后微服务架构为了保证高可用,一般都会部署多个服务,这个时候问题就来了,时间一到定时任务一启动,发现你部署多少个服务,就会跑多少个定时任务。如果服务器性能一般,定时任务占用内存又多,服务器跑死都有可能。 问题:那基于SpringCloud的架构中,这种情况我们应该如何处理呢? 简单的来说,我...
linux修改文件扩展属性的源文件chattr.c
02-26
linux修改文件扩展属性的源文件chattr.c,下载后只需要执行gcc chattr.c -o chattr.out即可编译出chattr.out文件,从而执行./chattr.out -i a.txt等命令来对文件扩展属性进行更好的操作。 详情见文章:https://dingdong.blog.csdn.net/article/details/129227812
Liunx服务器挖矿病毒杀除
乂夜秋风的博客
12-26 355
核心 找到服务器中的病毒程序,并彻底清除 现象(出现以下现象多半是中了挖矿木马) 1.服务器卡顿,程序跑不动 2.top 显示sshd -D占用cpu 3.服务器cpu拉满 杀除 1.top 查看该程序的信息 2.查找该程序所在的目录 3.查看该文件的属性 lsattr ‘sshd -D’ ***这里一般是ia两个,i表示这个文件连root用户都不能编辑,需要修改chattr文件 4.修改chattr文件(一般chattr文件都会被黑客篡改导致你不能修改,需要重新编译) 1)下载chattr源码重
阿里云云服务器被恶意纂改挖矿
heguu的博客
03-02 1742
高高兴兴来实验室学习,结果 top和ps查看进程,无异常(原因是top指令被纂改) 查看定时任务 crontab -l lanigiro 发现一个定时任务,我从来没设置过定时任务 修改定时任务 crontab -e 修改失败 删除该定时任务 crontab -r 删除失败 原因是被锁定了 解锁 chattr -ai /var/spool/cron/root 解锁失败,chattr病毒删了 下载chattr.c 下载chattr.c https://github.com/posborne/li
chattr没有权限 ——netstat没有权限
weixin_45386898的博客
05-16 668
服务器又被黑了吧 1、先下载C文件(https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c),上传到服务器的任意目录 2、编译,cc chattr,得到文件a.out,把名字改成chattr 3、运行编译好的文件,把被篡改的文件去掉不可修改的隐藏属性,./chattr -ia /usr/bin/chattr 4、再把编译好的文件,放回/usr/bin/
Linux服务器挖矿解决办法
qq_40939094的博客
01-08 2783
记录一次Linux服务器挖矿的经历(chattr文件权限被改)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
chattr源码
loveqqcc的博客
10-20 702
/* Name chattr - change file attributes on a Linux file system Synopsis chattr [ mode ] files… Description chattr changes the file attributes on a Linux file system. The format of a symbolic mode is ±=[acdeijstuADST]. The operator ‘+’ causes the selecte
有用的东西-收集
qq_26724613的博客
12-27 1257
关于chattr,关于mysql、关于xshell
记录Linux病毒的处理
Climber4211的博客
08-19 487
病毒一直pkill 不掉 定时任务不断重启 找到病毒相关的文件 解决办法 // top 命令找到相应的程序 top // 找到程序的信息 ps -ef|grep xxxx 第二步找到相应的文件 // 进入病毒相关目录 cd /xxxx/xxxxx // 删除相关病毒文件 rm -f xxxx 第三步查看响应的定时任务 // 定时任务病毒重启的关键,进入定时任务所在文件夹 cd /etc // 然后查看所有定时任务 ll cron.* 进入到定时任务的文件中逐个查看是否存在异常 有的话就开始修改或.
阿里云服务器被pnscan挖矿病毒入侵如何解决
m0_64344919的博客
01-26 1395
针对将SpringBoot项目打包docker镜像部署到服务器上出现的后续问题,有关2375端口开放的问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值