快速排查定位“挖矿病毒”

最新推荐文章于 2025-10-13 21:50:44 发布
原创 最新推荐文章于 2025-10-13 21:50:44 发布 · 651 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#ubuntu #linux #安全威胁分析 #人工智能 #python
#网络攻击模型
Python3.8

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

挖矿病毒排查方法

一、问题现象

        用户反应服务器上没有运行作业,但是在我公司监控页面查看到的GPU占用一直100%。让我们排查监控是否有问题。

二、排查问题

        我们通过SSH远程登录至服务器,使用nvidia-smi命令查看到GPU利用率极低,大部分在30%以下很少出现100%。

        继续排查发现,一旦SSH登录上机器,GPU利用率就会随之下降到30%以内。当退出SSH远程登录后,GPU利用率上涨100%。怀疑机器有病毒存在。

        重要步骤:我们不再SSH直接登录上去,选择使用如下命令查看进程

ssh root@cst-worker01 -C "nvidia-smi"

ssh root@cst-worker01 -C "nvidia-smi pmon"

        发现nvidia-smi已经没有显示任何进程使用GPU了,但是nvidia-smi pmon可以查看到python3进程,这个很可能就是病毒进程(eg:310880)。

       继续排查进程(eg:310880)文件,发现进程文件夹中伪造了很多系统命令,进一步查找,找到了一个进程的cmdline文件,查看文件内容,发现了病毒命令# ssh root@cst-worker01 -C "cat /proc/310880/cmdline"

python3                                                                                                                                                                                                                                                        -aprogpowz-ostratum+ssl://52.76.12.203:443-ostratum+ssl://13.114.153.90:443-udompet[zano].e2c7b7c9dc4d45a98462b6c26e5c3d7cb4055dff20088e

-px-q--api-bind-http0--no-watchdog--no-strict-ssl--no-sni--devices0,1,2,3,4,5,6,7

        结论:从输出命令看,进程使用了ostratum挖矿协议,指向了外网,且参数中包含大量可疑内容eg:--no-strict-ssl并且在排查中进程号一直在变,确定为挖矿病毒

        以后如果遇到GPU使用率异常问题,可使用如下两条命令基本可以定位:

ssh root@cst-worker01 -C "nvidia-smi"

ssh root@cst-worker01 -C "nvidia-smi pmon"

       使用下面命令辅助查看病毒信息:

ssh root@cst-worker01 -C "ls -l /proc/310880/*" (这个灵活使用)

ssh root@cst-worker01 -C "cat /proc/310880/cmdline" (这个灵活使用)

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

flora_xwf
关注
《网络安全自学教程》- 挖矿病毒排查思路和处置步骤
热门推荐
wangyuxiang946的博客
05-05 2万+
首先根据CPU占用率确定确定挖矿进程,找到母体文件并清除。 而后是检查计划任务、启动项中,挖矿木马的持久化操作,杜绝复发。 最后通过账号、日志、母体文件等信息,溯源攻击路径。
排查挖矿病毒
gender123的博客
03-28 4948
场景 最新发现linux服务器一直很卡,导致无法编译和其它相关操作。 排查分析 经top 查看原来是一个叫269 的进程一直抢占CPU,占比高达4000%。而该269 进程则是挖矿病毒进行高度伪装,即使是kill 掉该进程也无济于事,后面又会自动跑起来。 top - 19:29:19 up 1:24, 2 users, load average: 41.71, 41.75, 41.46 Tasks: 891 total, 3 running, 502 sleeping, 0 st..
挖矿病毒/远控木马排查思路(Windows系统)
qq_51845659的博客
03-18 8246
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔记)
记一次排查xmirg挖矿程序
syt19980807的博客
01-02 1141
当然没有,我发现还有一个地方有自启动,那就是在crontab这个命令定时执行shell脚本里面查看到了也有自启动,然后我直接通过编辑命令删除掉了对应的自启动的哪一行,然后其实用户权限不足,然后我提权到root,然后再去删除,然后他居然提示== Operation not permitted==,WTF,居然提示我不允许操作,我是root账户啊,大哥,然后我就只能面向百度编程了嘛,程序员嘛,要随时借用其他工具方便我们开发,然后通过。当然没有,我们还要查看有没有自启动这个程序的,lsattr 文件名。
【应急响应】挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
今天是几号的博客
04-25 4034
某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。某天客户反馈:服务器疑似被入侵,风扇噪声很大,实验室因耗电量太大经常跳闸,服务器疑似被挖矿挖矿程序定位定性,时间分析排查安全漏洞,攻击IP找到等。3、删除市场上已知挖矿脚本(恶意竞争了,属于是)危害:CPU拉满,网络阻塞,服务器卡顿、耗电等。
挖矿病毒排查并清除
zm96309的博客
02-28 5309
近期,公司内网linux环境出现了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。现摸索了以下步骤进行清除。 1、检测服务器是否有挖矿病毒。 使用top命令查看进程及占用cpu百分比,如果该进程名称为随机字符串,且cpu占的非常的高。则很可能是感染了挖矿病毒。 2、输入systemctl status 病毒进程id kill掉CGroup的进程id 3、输入ps -ef|grep tracepath,查看是否有这个进程存在。该进程推测是暴力破解ssh其他服务器的进程且..
挖矿病毒应急响应处置手册
安全狐
03-21 1462
通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下:服务器或PC访问过不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的地址下载初始化程序,而不受信任的来源主要是:第三方情报结构,企业内部历史数据沉淀。服务器或PC新增异常或恶意文件、进程或服务,并且大部分异常文件保存在服务器或PC的TMP目录中。服务器或PC的定时任务发生变更。
应急响应事件处理-挖矿病毒排查案例(下)
记录开发和安全学习过程中的点点滴滴
09-18 1071
系统资源占用率反馈两个方面:第一是系统整体概览,包括服务数量、任务数量、CPU占用情况、内存占用情况等。第二是能罗列出各个进程的CPU和内存消耗情况,便于排序查看异常进程。
应急响应流程与挖矿病毒排查流程
three_1996的博客
03-29 1140
汇总和整理事件应急全过程,提交处理报告总结事件引发的因素、制定相应的安全生产规范和制度,进行员工培训。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 5665
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
Linux排查进程、挖矿病毒查找
qq_39165617的博客
02-28 9477
这里写目录标题问题查看期父子进程以及命令查看其网络连接排查解决 问题 实验室中有一台服务器,top指令发现一进程-bash其CPU占用极高,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动 查看期父子进程以及命令 ps 发现其执行命令为systemd pstree,每个核心开了一个在跑 查看其网络连接 发现其与国外某IP建立了tcp连接 排查 查看定时任务 crontab -l 还可查看自启动服务,执行ll /etc/systemd/system/multi-user.t
蓝队-应急响应01-挖矿事件应急处置
jklove9的博客
02-08 1783
通常情况下会通过未授权访问漏洞,弱口令(口令爆破)等方式,具体是什么方式,还需要看被入侵的服务器具体开放了哪些端口或者服务?挖矿程序主要是利用GPU等资源进行挖矿操作,最直接的现象就是CPU拉满,消耗电力等。下述可以清楚看到,运行挖矿程序之后,查看CPU状态是拉满的,即100%。经过上述分析,基本确认是挖矿,确认挖矿之后,需要进一步探究挖矿程序是如何被上传?挖矿程序通常会有相应的配置文件,如下config.json所示,可以看到钱包地址,挖矿域名等。依据挖矿程序,全盘搜索,发现下述两个路径均存在挖矿程序。
挖矿病毒攻击的排查处置手册
煜铭2011
07-01 1万+
一、背景 在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。 为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析和检测处置建议。 二、为什么会感染恶意挖矿程序 通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式: 2.1.利用类似其他病毒
Linux 与 Windows 系统挖矿程序清理
qq_42773076的博客
06-12 1735
通过以上步骤,可系统性排查并清除挖矿程序,同时结合安全防护措施防止再次感染。建议将关键操作记录日志,以便溯源和后续安全审计。:切断挖矿程序与黑客服务器的联系,防止数据泄露和进一步攻击。下载挖矿程序或执行可疑脚本的任务行。部分挖矿程序会给关键文件设置。
Linux挖矿程序排查
AiFlutter的博客
12-24 1421
Linux挖矿程序排查
CPU 飙升?记一次挖矿程序排查
最新发布
小狼碎碎念的博客
10-13 651
记录一次新手查杀挖矿病毒的流程
挖矿排查标准操作程序(SOP)详细版
weixin_45945976的博客
11-11 1186
本文档旨在提供一个详细的操作流程,用于排查和识别系统中的挖矿活动,以及相关的守护进程。
记一次服务器被挖矿排查过程:xmrig挖矿病毒
矮矮的夏祭的专栏
07-11 1万+
服务器被挖矿,记录一下清除xmrig挖矿病毒的解决过程
Linux挖矿病毒排查(通过redis入侵服务器原理)
程序员阿飘 的博客
01-11 1837
3.将公钥写入目标机器的authorized_keys 文件* cat foo | redis-cli -h 12.34.56.78 -x set crackit* redis-cli -h 12.34.56.78* config set dir /root/.ssh/* config get dir* config set dbfilename "authorized_keys"执行程序在/tmp下2.find / -name qW3xT.4, find / -name ddgs.3016;
挖矿病毒排查
starry_ke
07-08 610
学习笔记---Windows挖矿病毒&Linux挖矿病毒
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值