成功处理挖矿病毒劫持,crontab注入顽固脚本,cpu、内存飙升

最新推荐文章于 2024-06-20 11:33:47 发布
原创 最新推荐文章于 2024-06-20 11:33:47 发布 · 置顶 · 2.7k 阅读 · 0
本文分享了一位工程师在CentOS服务器上成功清除顽固挖矿病毒的经验,包括CPU和内存占用排查、crontab脚本处理、使用busybox等关键步骤。

       本人的linux centos服务器被挖矿病毒劫持有几个月了,crontab 顽固脚本一直占用,删除也删除不了,cpu、内存一直被长期占用,服务器提供商说要重装系统,或者用原始正常镜像做恢复,这样会把原来的系统重新安装部署,这样下来又需要几天时间,测试维护,真是非常痛苦。最近花了几天时间研究,终于成功处理了。cpu、内存也平稳运行了,心情轻松了很多。

     下面记录描述一下处理方法,如下:

首先:针对CPU过高,针对占用进程进行排查,查找可疑进程。

通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

这样基本可以消除CPU占用过高的问题。

      再次 发现服务器被挖矿病毒入侵的内存占用过高,查看可疑进程,杀掉内存占用过高的进程,这里就不一一描述。

      针对crontab顽固脚本,进行处理。处理步骤如下:

1.安装busybox

#!/bin/bash #获取busybox安装包,也可以其他机器下载后离线上传到目标机器 wget http://busybox.net/downloads/busybox-1.21.0.tar.bz2 #需要bzip2,要是机器没有安装的话 yum -y install bzip2

t

最低0.47元/天 解锁文章
万恶的crontab定时任务--被攻击了--20201102更新 挖坑病毒
今朝歌莫言醉
10-19 3869
现象 服务器cpu占用极高,经常卡顿,干掉进程,不一会儿又出现了,那么有可能被注入了定时运行规则了; 处理过程 1、使用top监控资源情况,发现异常,使用kill干掉了 2、但过段时间又冒出来了,这是使用crontab -l 发现异常定时规则 3、查询定时任务日志 /var/log/cron,发现异常进程从某行代码开始 4、分析/etc/cron.d/pwnrig 脚本【这个是从日志中发现的异常文件】如下 5、跟踪启动文件/bin/crondr,发现还不能删除,被锁定了 ..
一次排查服务器挖矿病毒
架构师的成长之路的博客
09-23 3185
步骤一 top 查看cpu 发现挖矿病毒占用cpu。于是找到挖矿病毒的程序位置删除后,再kill掉进程。查看top cpu显示正常。搞定。 哈哈哈 步骤二 一会接到通知 服务器cpu过高,于是登录服务器top 查看发现一切正常,见鬼了。度娘 、google 。找到病毒源头 reids 弱密码漏洞 ssh 。于是: 1、修改redis 密码。 并删除掉里面的redis 中的病毒key 2、删除病毒文件 /root/.ssh/root 下的 3、删除定时文件(别被文件名骗了,病毒会伪装).
网站服务器被挖矿木马攻击,hosts文件、crontab定时任务被锁定解决办法
ljk15036029526的博客
06-05 973
登录服务器发现异常,hosts文件被清空锁定无法修改和crontab -l内容被清空后添加了一个定时任务,无法删除和修改(删除后马上自动恢复回来)。判断可能是黑客利用redis漏洞攻击了服务器,修改redis默认端口,配置redis复杂密码;判断为文件被加了隐藏权限,使用 lsattr 查看文件隐藏权限(文件被添加了 i a权限)找到运行的木马程序,删除木马程序目录。最好给服务器配置新的密钥文件。
linux删除挖矿病毒
weixin_39202006的博客
04-29 1511
通过top查看cpu占用细节,找到占用超过90%以上的服务,就是病毒程序了。 比如sysupdate服务超过90% ps -ef | grep sysupdate kill pid杀掉进程 首先linux用户比如root或者其他创建的密码要复杂。 然后,一般病毒文件会放在tmp文件夹下,因为tmp的权限一般会是777,所以要tmp权限设置为744或者其他。 用root用户删除tmp文...
记录一次crontab任务删除不了,显示LINUX /var/spool/cron/root: Operation not permitted
kd520520520的博客
12-05 2842
crontab删除不了任务
Linux->服务器被挖矿&CPU内存高负载处理
起而行动,方能平定心中的惶恐
05-28 1534
1.通过linux命令查看cpu内存情况 输入 top 然后按1 对资源占用进行排序 2.查看资源占比较高的进程是否本系统的进程 如果是本系统进程,根据业务系统确定为什么会这样,可能是访问量过大 死循环 定时任务高频执行 excle大量数据导入 等情况 如果非本系统进程,则继续往下看 3.首先进行kill进程号方式处理 执行命令:kill -9 + 进程号 进程kill后如...
记一次centos系统CPU占有率高的处理经过
huaya1127的专栏
12-05 4540
早上到公司,发现公司群里在反馈有一个业务系统出现了问题,从昨天晚上到早上还未恢复,由于事情紧急,马上开始处理。 一、重启业务系统 本以为是业务系统可能存在bug,造成了当机了。所以首先重启了业务系统,后发现问题依旧。 而且在操作的过程中发现系统反应速度非常慢。 二、找到问题 通过top查看系统进程情况,发现有个进制cpu占用率非常高。 再查看了该进制的具体内容: 发现该进程好...
centos中bash占用cpu,linux下如何定位CPU占用高的进程的问题点
weixin_34470566的博客
03-18 919
一、Top+pstack+gdb的组合拳闲言少述,先直接上操作实例,再做原理讲解。1.1 用top命令找到最占CPU的进程>topPID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND22688 root 20 0 1842m 136m 13m S 110.0 0.9 1568:44 test...
Centos/Debian 占用CPU100%挖矿病毒清理
lsy1162526799的博客
04-06 1878
Cetnos/Debian 占用CPU100%挖矿病毒清理 ①top命令查看病毒进程,现在它一般由十位数随机字符串组成 找到进程ID,例如7538,执行: systemctl status 7538 其一般会有一个守护进程,如: 'cgroup…/system.slice/cron.service 7542 xxx 7538 xxx’ 在/tmp/.X11-unix/下一般会有记录守护进程id的文件,不为空的里面好像有加密串,可以解密看看 总之: kill -9 7542 kill -9 7538 ②清
Linux CPU占用率99%很高被kdevtmpfsi 和kinsing 挖矿病毒入侵
小蜜蜂
02-23 3888
目录 一:警告 二:查看cup占用 三:解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4:删除掉kdevtmpfsi的相关文件 四.怎么预防处理这个病毒 一:警告 先上阿里云上的报警信息。有个最大的问题是:top命令查看自己服务器CPU运行情况,会发现kdevtmpfsi的进程,CPU使用率为...
centos中bash占用cpu,Linux中显示内存CPU使用率最高的进程和SHELL脚本例子
weixin_39640203的博客
03-18 471
显示CPU占用率最高的十个进程信息# ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|headUSER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMANDroot 30222 5.0 3.8 10685936 38228 ? Sl Apr...
linux 病毒 自动写crontab,记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法...
weixin_32463071的博客
05-06 1511
一、警告二、解决病毒1.docker 引发的挖矿程序的惨案(1)病毒原因(2)解决病毒2.定时任务crontab不能更改3.更改ssh端口4.莫名的curl,导致CPU过高三、完成一、警告在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。二、解决病毒1.docker 引发的挖矿程序的惨案发现linux系统中使...
crontab异常任务删除不了,清除挖矿病毒
qq_34200979的博客
06-20 985
通过分析配置文件的内容,发现这些配置是用于设置某个加密货币矿机的参数,这证实了之前的猜测:这个异常程序确实是一个挖矿程序。命令查看用户的定时任务列表,果然发现了异常的定时任务。进一步调查后发现,这个定时任务是由一个位于国外服务器的IP地址设置的。此时虽然还不能确定这个异常程序是否为挖矿程序,但出于安全考虑,决定先删除这个定时任务。(可能是一个误写或自定义的进程名)的两个异常线程占用了大量的CPU资源,几乎导致CPU满载。编辑定时任务列表时,发现由于文件或目录的扩展权限设置,不允许进行编辑操作。
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
03-26 1402
在收到阿里云的安全警告2条 1、异常登录-ECS在非常用地登录 2、恶意进程(云查杀)-挖矿程序 根据提示分析,当有异常登录时,基本上是服务器的密码被破解了,所以第一步是先修改服务器的密码 输入命令passwd 回车输入新的密码 第二步、查封可疑IP,根据阿里云的提示使用iptabes禁止可疑IP的连接 iptables -I INPUT -s 68.183.140.39 -j DRO...
CentOS处理挖矿病毒 - kthreaddk
HoZanDung的博客
03-22 1411
CentOS处理挖矿病毒 - kthreaddk
解决挖矿病毒 sshd2(redis未设密码、清除crontab定时任务)
zetor的专栏
08-31 1758
解决挖矿病毒(redis未设密码、清除crontab定时任务) 在天翼云使用redis,开启了6379端口,但是当时未对redis设置密码、导致挖矿病毒入侵,如图: 此病毒,详细执行效果,请参考文章: https://www.freebuf.com/column/211777.html 此病毒在启动后,会占用主机cpu至99%,且由定时任务拉起,比较顽固,在清除进程的同时,要清除定时任务, 详细如下: 1. 如不使用linux定时任务,crontab,可清除 rm -.
阿里云挖矿病毒解决
weixin_39766667的博客
02-20 3048
有一次,我们在阿里上的服务器收到这样的短信。【阿里云】尊敬的xxxxxx:经检测您的阿里云服务(ECS实例)xxxxxxxx存在挖矿活动。根据相关法规、政策的规定及监管部门的要求,请您于2023-02-27 00时前完成挖矿问题整改,否则您的服务将被关停,详情请查看邮件或阿里云站内消息通知。若您有其他问题,可登陆阿里云官网在线咨询这就是中了挖矿病毒,如何处理它?
记一次挖矿病毒kdevtmpfsi,xmrig,定时任务crontab不能更改,及莫名的curl,导致CPU过高,占用网络连接数过大的解决办法
yongxuezhen的博客
04-14 3772
一、警告 二、解决病毒 1.docker 引发的挖矿程序的惨案 (1)病毒原因 (2)解决病毒 2.定时任务crontab不能更改 3.更改ssh端口 4.莫名的curl,导致CPU过高 三、完成 一、警告 在linux中使用docker,redis,ssh,tomcat等 的时候,建议全部更改成自己自定义的端口,开启防火墙并开发自己需要的端口。 二、解决病毒 1.d...
centos 处理挖矿病毒
weixin_44606690的博客
01-04 1119
处理挖矿病毒,真的恶心啊占用CPU百分之50
服务器被攻击的发现和解决过程
qq_20667511的博客
01-25 2339
记一次服务器被攻击的发现和解决过程这是之前2018年左右,买阿里云服务器之后,服务器被攻击,当时的记录信息,现在整理一下出现的问题解决思路和解决过程解决思路:解决步骤:思考:为什么会出现这样的脚本改写 /root/.ssh/authorized_keys通过redis日志实现的但是需要注意的是:总结: 这是之前2018年左右,买阿里云服务器之后,服务器被攻击,当时的记录信息,现在整理一下 出现的问题 服务器的用户进程一直处于100%的使用 通过ps -ef ,查看进程,并未发现异常(可能是自己没注意到),
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云焰

你的鼓励是我创作的最大动力。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值