服务器又被挖矿记录

最新推荐文章于 2024-11-11 21:01:06 发布
原创 最新推荐文章于 2024-11-11 21:01:06 发布 · 4.2k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

写在前面

23年11月的时候我写过一篇记录服务器被挖矿的情况,点我查看。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。
而过了几个月没想到又被攻击,这次比上次攻击手段要更高明点,在这记录下吧。

发现过程

服务器用的是4090,i9-13900K,就我一个人在用,我也不跑什么大规模程序,按理说平常风扇基本不会一直响。今天来到实验室后发现风扇在狂转,过了一二十分钟后还是这样,我就意识到可能出了问题。
首先我看了眼桌面上占用资源较多的几个进程,没发现异常
在这里插入图片描述
而在上篇记录中,bash进程都超过了90多,只从这里看不出什么问题。
然后我又打开了资源管理器进一步查看
在这里插入图片描述
资源占用都不是很高,到这里还是看不出问题

我又回想起之前我同学又要用这个服务器跑程序(没错,又是他o(╥﹏╥)o),当时我就给了他一个公共用户,为了防止像上次一样被挖矿,我还特意改了下那个用户的密码。
但是由于他不在校园网范围内,所以走的是一个公网ip登的服务器,做了个端口映射。
我给他的用户是lab,由于他可能也要装软件,所以也给了sudo权限。
于是我查了下lab用户的进程
请添加图片描述
注意上面有几个可疑的地方

最低0.47元/天 解锁文章
挖矿木马攻破了服务器
中年程序员一枚的博客
08-09 1672
systemctl status 6058 # 6058为病毒的PID。然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!过一分钟后,服务又开始狂刷cpu。最近被国外的挖矿木马攻破了服务器。#top 看看什么占用cpu高。第四步根据pid查到服务地址。#last指令查看登录ip。第三步杀死狂刷CPU的服务。
处理服务器恶意程序 kthreaddi挖矿
小啊宇的博客
04-12 5515
再次经历了服务器中病毒,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问web界面确实看不到nexus页面 登录服务器之后查看并没有nexus得端口存在,尝试进行启动nexus 一开始都是后台运行 ./nexus start 并看不到报错 只知道运行一会然后就没了 然后操作前台运行 ./nexus run 看到了运行到中间得时候 程序就突然被kill了 这个时候我直接就
服务器被种植挖矿程序,恶意访问ip等等。
Prodigal
07-01 1322
阿里云服务器安全中心的警告。 根据信息, 删除一些文件后。发现过一段时间又出现了。 top查看可以看到又两个程序占用资源很高。 一个是sysupdate,一个是networkservice. 这两个都在etc下。 下面图中的ip就是下载源。 在etc/update.sh中也有相同的地址。 解决方式 在/etc/下找到下面的文件,rm -rf 删除下面的文件。 如果出现提示无法删除。则使用chattr -i 文件名取消限制,然后再删除。 在/usr/bin/下找到以下文件,然后删除下面的文件。
Java/JDK下载安装与环境配置(Windows 10 超详细的图文版教程 )
热门推荐
奔三的Uncle
07-05 43万+
前言:对于很多初学者来说,我想可能很多人都会遇到的一个问题就是Java环境变量的配置问题。自己明明就是按照度娘上的教程去一步步配置的,但还是会有很多的人出现配置不成功的问题。所以今天在这里分享一下windows 10 系统下安装Java的教程,希望对Java初学者能有所帮助。 一. Java的下载与安装 作为初学者,要想学习Java语言,第一个条件就是要让电脑上具备有Java环境,那么怎么让电...
服务器挖矿了怎么办?别急看这里@~…~@
童龙辉的博客
10-08 3367
服务器挖矿攻击通常是由于系统或应用程序的漏洞被黑客利用,导致恶意软件在服务器上运行,消耗大量资源进行加密货币挖矿。列举:从图中可以看到,你的系统检测到了一次“挖矿”行为,并标记为高危威胁。攻击者的IP是,并且目标是。根据描述,攻击类型是通过客户端登录矿池进行的,矿池登录是挖矿行为的一种典型表现。下面将给出一般的处理方法希望能帮到大家。
服务器挖矿了怎么办,实战清退
qq_14926283的博客
03-25 3002
然后看看有没有定时任务,有的时候它会定时去检测xmrig挖矿木马是否在正常运行,不正常它会重新去做一系列的处理,重新植入木马,这时候我们要去取消这些定时任务。注意这些看起来像系统进程的最好不要kill掉,容易出现意外,把生产环境的服务给干费了,那我们得去删掉这个后门用户怎么办。可以看到我这边有一个名为xmrig(有经验的这里看到名字直接就能判断)的进程霸占了100.3的资源,这里中招了。第一时间重启服务是不行的,这些挖矿木马一定是会伴随着你的重启而自动重启,一定时间内重新霸占你的服务器资源。
linux服务器cpu被bash、java服务占满,疑似挖矿脚本
最新发布
chywzh的博客
11-11 845
疑似挖矿脚本植入服务器
记一次排查服务器挖矿记录
weixin_44003119的博客
11-20 2137
背景 服务器是在本地,通过云服务器透传访问的 前面已经出现几次被挖矿,导致模型训练很慢,以前仅仅kill完事 以前用的别人的号,今天发现用我的我账号在搞,有点生气 下面仅记录 找+删 执行文件,为何被侵入还没懂 情况及处理步骤 显卡被占用 输入 watch -d -n 1 nvidia-smi 发现有程序将GPU占用100%(正常人写的模型很难一直100%吧,总要跟磁盘、CPU交互,暂停GPU) 查询执行用户 输入 ps -ef | grep 20453 下面是我找到文件后,重新执行,复现的,pi
记一次阿里云被挖矿处理记录
x1172031988的专栏
07-08 4万+
记一次阿里云被挖矿的处理过程
我次儿嘹!正在上班突然收到一条短信告知:云服务器疑似被挖矿
DaenCode的博客
08-10 811
2023年8月8日上午突然收到一条腾讯云服务器的一条站内信:服务器疑似被挖矿。因为对云服务器不是很熟,只是会玩玩简单的命令,从来没有遇到过这种问题,当时是慌极了。看到站内信中提示不在规定的时间内处理,服务器就会被封禁,我才刚买的服务器呀。于是,就去网上查阅了相关博客以及腾讯云官网的处理手册,来对此进行了处理。
记录服务器挖矿处理总结
LiXiaoJin's Blog
01-19 773
偶然发现CPU一直占用100%,开始还不太在意,后来想想我的程序也没这么多啊 导致机器登录ssh的时候都有点卡了。 开始检查机器,发现原来是被入侵了,有个木马一直占用 这才知道是被别人用来挖矿了,真是无语了 搞了好久没搞定,哎,能力有限,一生气直接重装系统了 以后安全防范一定要做到位。 希望不要再被入侵了,烦死了 这次算是体会到主机安全的重要性了,公司最近也在说这个问题,看来还是要多多重视。 总结一下: 我之前密码设置得太简单了,导致直接被暴力破解 安全防护做得不够,防火墙也没有打开 22端口
java 挖矿代码,挖矿运行脚本注解(示例代码)
weixin_33413018的博客
03-20 1964
#!/bin/bash#杀掉旧 trace 挖苦程序if pgrep trace; then pkill trace; fi# CPU 数: 8threadCount=$(lscpu | grep ‘CPU(s)‘ | grep -v ‘,‘ | awk ‘{print $2}‘ | head -n 1);#主机名 md5 校验码: b8419160hostHash=$(hostname -f |...
挖矿病毒处理记录
Z.Virgil的博客
08-15 1万+
wnTKYg进程发现 执行top 会发现此进程。 wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]# cat auth...
一次挖矿入侵处理记录(2021.01.27)
卡西莫多的博客
01-28 3957
https://github.com/bg6cq/ITTS/blob/master/security/mine/README.md 转自上面链接,也是我的亲身经历,供大家学习。网络安全大家引以为戒。爱闹的小兄弟们,别闹了啊,让张老师花了好几天的心思在你们弄得事情上。 [原创]一次挖矿入侵处理记录(2021.01.27) 本文原创:中国科学技术大学 张焕杰 修改时间:2021.01.27 一、突发的大量SSH扫描 2021.01.25 22:40,接到用户报告发现有来自校内7个IP的大量SS.
服务器被黑客攻击,用来挖矿,怎么办?
m0_63171455的博客
02-23 3053
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。编程学习资料点击免费领取 解禁服务器 要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击控制台->个人头像->安全管控进入相关页面。 在处罚列表,我们可以看到相关处罚记录,点击解除封禁后即可正常进入服务器了。 会有提示,需要在解禁后三日内找到挖...
阿里云服务器存在恶意挖矿程序
u014203449的博客
03-01 5834
阿里云发了很多短信。 进入服务器,发现速度缓慢。 输入 top命令查看cpu利用率,发现被占满。networkservice , sysupdate这两个程序。 netstat -anop 也能查询到很多 networkservice的程序用tcp在运行, 首先kill掉上述进程,但是没有卵用,还是很卡,top命令发现这些程序又启动了。 可以在 /proc/[...
记一次苦逼的服务器挖矿的清除过程
bobpen的专栏
02-21 2万+
环境说明 Centos 6.2 现象描述       通过top查看服务器资源,cpu资源几乎被占尽,但是top list里面却没有显示出是哪个进程占用的资源 而且系统会提示以下信息 通过关键字查询miner & crytonight,得知服务器被而已挖矿了 解决办法 1.linux进入single模式 进入singl
如何解决服务器挖矿木马
网站安全专家
01-26 1686
如何有效应对这种安全危害,在此过程中促进公司网络安全能力的提高,必须变成企业安全管理者和网络安全厂商的共同目标,快过年了,被挖矿木马植入的服务器越来越多,导致很多网站或APP无法正常运行,如果想要彻底解决的话建议到服务器安全公司来处理解决。检测/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中是不是有恶意的脚本下载命令,是不是有挖掘木马的命令,删除发现挖矿进程、恶意程序时,立即检查和修复网站服务器存在的系统漏洞、弱密码、网络应用漏洞。
Ubuntu | ERROR: ld.so: object ‘/usr/lib64/libthread.so.1‘ from /etc/ld.so.preload cannot be preloade
我是一块小石头
02-07 4121
错误一览 ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored. root@xxx:~# root@xxx:~# ls ERROR: ld.so: object '/usr/lib64/libthread.so.1' from /etc/ld.so.preload cannot be prel
【转】服务器挖矿病毒的排查过程
05-25
服务器挖矿病毒是指黑客通过入侵服务器,利用服务器的计算资源进行加密货币挖矿。这种病毒的存在会导致服务器性能下降,甚至导致服务器崩溃。以下是排查服务器挖矿病毒的过程。 1. 检查CPU和内存使用率 服务器挖矿病毒会占用服务器的大量计算资源,导致CPU和内存使用率异常升高。通过检查系统监视器或者运行top命令,可以查看当前的CPU和内存使用率,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 2. 检查网络流量 服务器挖矿病毒需要与矿池进行通信,因此会产生大量的网络流量。通过检查网络监视器或者运行iftop命令,可以查看当前的网络流量,如果发现异常升高,则很可能是服务器挖矿病毒导致的。 3. 检查进程列表 服务器挖矿病毒会在服务器上运行挖矿程序,因此会在进程列表中留下痕迹。通过运行ps命令,可以查看当前的进程列表,如果发现有可疑的进程,则很可能是服务器挖矿病毒导致的。 4. 检查系统日志 服务器挖矿病毒会在服务器上留下痕迹,因此可以通过检查系统日志来发现异常行为。通过查看/var/log/auth.log、/var/log/syslog等系统日志文件,可以查找异常登录或者异常命令执行的记录,如果发现可疑行为,则很可能是服务器挖矿病毒导致的。 5. 检查防火墙日志 服务器挖矿病毒需要与矿池进行通信,因此需要打开服务器的防火墙端口。通过检查防火墙日志,可以查看服务器上的网络连接情况,如果发现与矿池的连接,则很可能是服务器挖矿病毒导致的。 以上是排查服务器挖矿病毒的基本过程,如果发现服务器确实感染了挖矿病毒,则需要及时采取措施清除病毒,并加强服务器的安全防护措施,避免类似的攻击再次发生。
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值