记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。...发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/149391.html原文链接:https://javaforall.cn
centos挖矿程序解决 第一种办法: 1.top找到cup占比最高的程序 2.ps -aux|grep COMMAND 3.crontab -l 查看定时任务 4.然后删除挖矿脚本和定时任务脚本...不行就直接执行下一步) 4.kill 掉病毒进程 5.service stop crond 或者 crontab -r 删除所有的执行计划 6.执行top 查看过一会还有没有进程 发布者:全栈程序员栈长
Linux清理挖矿程序@bug Linux清理挖矿程序 最近服务器经常被挖矿,一些经验 1....找到挖矿程序 挖矿程序跑起来几乎占满了所有的CPU,以及GPU,用watch -n1 nvidia-smi可以实时看到挖矿程序的PID号,此时不能用kill -9 PID号来进行清除,会发现它换一个PID...使用top可以看到挖矿程序进程名字xxx(command一行),ps aux|grep xxx 或者ls -l /proc/{PID号}/exe 找到病毒程序的路径位置 2....删除病毒的定时程序 1.低级版的病毒,crontab -l 可以看到病毒程序的定时任务,crontab -e编辑删除 2.高级点的病毒,crontab -l查看不到病毒程序的定时任务,因此cat /etc.../crontab去找到定时任务,编辑删除 3.删除源文件 kill -9 PID 号,这时候就有用啦 把之前病毒源文件一并删除 4.加强电脑安防,愿天下无毒 发布者:全栈程序员栈长,转载请注明出处:https
1.找出cpu高的程序,top找不到的话,用下面命令 ps -aux --sort=-pcpu|head -10 2.杀掉相关进程 kill -9 pid 3.查看crontab是否有定时任务 4.删除相关命令...libiacpkmn.so.3" #查找文件,确认已经删除OK [root@dbserver ~]# 5.查看 /etc/rc.d/init.d/和/usr/bin/是否有软连接 发布者:全栈程序员栈长
腾讯电脑管家近日捕获的HSR币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。...tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。 主程序启动后,联网访问一份进程列表。 ?...程序基于ccMiner 2.0开源挖矿程序,ccMiner是基于NVIDIA GPU的挖矿程序,兼容windows,Linux,目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘...经验证,该加速器同样被植入挖矿木马: ? 已知这两款程序是由某网吧联盟团队开发,在BBS上也可以发现绝地求生小辅助,而且下载量也过万。 ?...此外,下载站也在疯狂传播该辅助程序。经分析,网上搜索“吃鸡”、“绝地求生”等关键词,在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知,仅通过该下载器下载辅助的人次就已高达10万。 ?
挖矿程序分析 x 文件,文件下载后首先执行x文件 # vim x nohup ....> bash.pid 这个核心文件就是读出操作系统的硬件架构,如果是i386就执行32位的h32和md32,猜测h32是用于让系统显示的进程名称,md32才是真正的挖矿程序。...过程总结 找系统漏洞->获取权限->创建目录->上传文件->执行x,执行a->a启动crontab执行upd,生成upd并赋权->upd去执行run->run去执行真正的挖矿程序。...清除挖矿程序 1. kill 掉可疑进程,删除程序目录 # kill -9 19078 && rm -rf /tmp/.n && rm -rf /tmp/.a 2....修改 vmuser 用户密码 注意到挖矿程序都是 vmuser 用户,所以修改 vmuser 用户密码 # passwd vmuser 入侵检测 不放心,使用 rkhunter 检测一下 1.
然后利用 Redis 未授权访问漏洞执行 Redis 命令: 这样就将定时任务和脚本注入到了我们机器当中,就会开始执行 init.sh 脚本 init.sh 主要功能是:关闭selinux、杀掉别人的挖矿进程...、杀掉CPU占用过高的进程,如果是自己就跳过、修改破坏系统命令、自己造一个下载器downloads()函数、解锁和加锁定时任务、添加挖矿技术任务、设置SSH免密登陆、下载执行矿机挖矿程序、关闭防火墙、清除日志...三 解决方案 1.清理定时任务以及相关伪装的挖矿进程 2.redis设置密钥 3.服务器相关安全组更新,管好进出口 附:摘一部分脚本给大家看下 #!
geth –port 33333 –rpc –rpcapi eth –rpcaddr 192.168.10.176 –rpcport 8888 console 2 启动ethminer(挖矿软件...127.0.0.1:1234 –opencl-device 0 –opencl-platform 1 注意:只需要执行以上两步操作,不要添加其他参数或者启动后执行miner.start()操作 -G:启动GPU挖矿...(通过opencl调用GPU挖矿) -P:geth地址 –opencl-device x :x代表启动的Gpu数量,默认全部启动 注意:启动GPU挖矿需要geth节点设置为挖矿节点才可以启动挖矿,并且geth...的disk IO速度应该足够快,否则数据同步速度不能跟上主网区块产生速度,也无法挖矿....发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/184101.html原文链接:https://javaforall.cn
再次经历了服务器中恶意程序,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问.../nexus run 看到了运行到中间得时候 程序就突然被kill了 这个时候我直接就查看了主机得运行资源 #查看运行内存 free -h #查看硬盘内存 df -h #查看CPU使用率 top...从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器、程序运行不久会被kill。...-9 程序pid 他会重新生成新的程序继续跑慢你的cpu 根据之前得处理恶意程序得经验 我看一下计划性任务 如上看到了一个任务是在nexus文件夹下得东西 rm -rf ........./fofx5san #进行删除 然后在修改定时任务 crontab -e 进去之后直接dd删除这行 然后继续kill -9 程序pid 发现并不管用还是会生成新的恶意程序,同样还会生成新的计划性任务
这两天使用的公网服务器被入侵了,而且感染了不止一种病毒:一种是 libudev.so,是 DDoS 的客户端,现象就是不停的向外网发包,也就是超目标发起 DDoS 攻击;另外一种是挖矿程序,除了发包之外...该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉,如果被关掉了,会再把 libudev.so 拉起来,而且这个监控进程为了防止备关掉,还会不停的变换自己的进程名和进程号,这就给查杀带来了更大的难度...XMR 挖矿程序 2.1 病毒特征 第二种病毒是门罗币(XMR)挖矿程序,门罗币似乎是今年年初涨得很快,所以用病毒入侵挖矿的手法也就出现了,病毒主要是通过下载脚本,运行后下载并启动挖矿程序来工作,脚本的内容如下...,关于脚本的代码分析见于:XMR恶意挖矿案例简析,里面讲的非常详细。...参考资料 XMR恶意挖矿案例简析 金山云安珀实验室千里追踪75万台“肉鸡”控制源 记一次排除十字符libudev.so病毒的过程 FreeBuf
2、命令解析 从run64.bat内容我们可以估计Update64.exe就是一个挖矿程序,其挖掘的是XMR虚拟货币,矿池是xmr.pool.minergate.com:45560,挖矿帐号是:cooldayright...根据网络查询,NSSM是一个服务封装程序,它可以将普通exe程序封装成服务,使之像windows服务一样运行。同类型的工具还有微软自己的srvany,不过nssm更加简单易用,并且功能强大。...它的特点如下: l 支持普通exe程序(控制台程序或者带界面的Windows程序都可以) l 安装简单,修改方便 l 可以重定向输出(并且支持Rotation) l 可以自动守护封装了的服务,程序挂掉了后可以自动重启...根据经验,很多挖矿软件都自带命令行帮助文件,于是我们直接在命令行下运行该程序,结果却如下所示: ? 说明该程序应该是经过重新修改编译了。...Claymore支持多种虚拟货币挖矿: ?
再次经历了服务器中恶意程序,一开始是ssh 服务器连接不上没反应,索性直接重启了服务器 这才能连接上服务器得终端 这台服务器之前运行着nexus私服 同事突然跟我说连接不上nexus了 我通过网页访问.../nexus run 看到了运行到中间得时候 程序就突然被kill了 这个时候我直接就查看了主机得运行资源 #查看运行内存 free -h #查看硬盘内存 df -h #查看CPU使用率 top ?...从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器、程序运行不久会被kill。...-9 程序pid 他会重新生成新的程序继续跑慢你的cpu 根据之前得处理恶意程序得经验 我看一下计划性任务 ?.../fofx5san #进行删除 然后在修改定时任务 crontab -e 进去之后直接dd删除这行 然后继续kill -9 程序pid 发现并不管用还是会生成新的恶意程序,同样还会生成新的计划性任务
1、“吃鸡游戏”辅助程序暗藏挖矿木马 2017年下半年开始,有一款游戏火遍了大江南北,这个游戏就是“吃鸡”类游戏绝地求生,而最近,绝地求生的玩家被挖矿木马盯上了。...接触过绝地求生的玩家都知道,绝地求生游戏的运行对电脑配置有着相当高的要求,尤其对显卡更是十分依赖,而如此高的配置恰恰是“挖矿”的标配,由于比特币等虚拟货币的价值高涨,引发了前所未有的“挖狂潮”,而绝地求生的游戏环境对挖矿着来说就再合适不过...,于是大批挖矿木马隐藏在绝地求生辅助程序中被玩家“打包带走”。...腾讯电脑管家近日就成功捕获隐藏在“绝地求生”辅助程序中的HSR币挖矿木马,并已经确定该挖矿木马名为tlMiner,是由一游戏辅助团队投放,而目前其目前其已经影响了数十万台用户机器!
登录查看后一个sshd2程序导致cpu负载高 仔细查看就知道和sshd是两个完全不同的进程,取名sshd2应该只是为了迷惑用户 ps -ef查看到父进程是一个/tmp/javax/config.sh,...发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/158472.html原文链接:https://javaforall.cn (ps auxf|grep sshd2|awk
就在几天前,遇到了一次挖矿程序偷偷装在ECS阿里云服务器上的经历。 那是一个风和日丽的上午,我和往常一样来到公司,倒杯水等待电脑打开,之后打开日常维护的几个系统。...我发现的这个伪装成lsass.exe的文件应该就是所谓的挖矿程序,并且阿里云服务器发现后自动关闭了全部端口,导致我在这台服务器上的OA系统无法启动(因为连接不上本地数据库)。...想要了解更多的同学,可以参考这篇博文,了解挖矿程序的机制,这里我就不班门弄斧了: https://blog.csdn.net/YoungCain/article/details/87919048 整个病毒的运行过程...: 然后因为挖矿程序大多进程直接删除删不掉的,过一段时间又会自己启动出来,原因是挖矿程序在系统中写了定时任务: 通过以下语句可以查看windows系统下定时任务和删除定时任务(在CMD中运行如下命令)...: schtasks /query –查看定时任务 schtasks /delete /tn “crontab_name” –删除某个定时任务 如果挖矿程序做了保护机制,篡改了你系统中的一些函数
确定二进制文件类型 给出钱包地址的 IOC 特征 文件类型:PE64 脱壳 upx.exe -d svhostd.jpg.virus 钱包地址的 IOC 特征 云沙箱自动分析 发布者:全栈程序员栈长
攻击者通过各种手段将挖矿程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的云算力进行挖矿,从而获取利益,这类非法植入用户计算机的挖矿程序就是挖矿木马。 挖矿木马,挖的是啥?...定位挖矿 普通开源挖矿程序 如果感觉主机突然出现明显的卡顿,可以打开任务管理器,查看CPU使用率,中了挖矿木马时,用任务管理器可能会看到存在奇怪的进程,CPU占用率较高,比如下图中,LogonUI.exe...占用的CPU明显高于其他进程,并且进程描述中有很明确的“XMRig CPUminer”信息: 或者使用ProcessHacker等工具查看进程,可以看到对应程序的图标,大多数集成开源挖矿程序的木马,运行后都会带有如下...“Xr”的图标: 有时候攻击者为了让挖矿木马不被发现,可能会通过服务等方式启动挖矿程序,这时可以借助内存搜索工具来定位进程,使用工具搜索挖矿域名或相关字符串: 内存搜索工具下载链接 64位系统下载链接...Docker是指攻击者将挖矿程序打包到Docker镜像中,上传到Docker Hub,当用户pull下来运行使用时,挖矿进程就偷偷的执行了,下面给出一个Docker挖矿的排查示例。
dbappsecurity.com.cn 有偿投稿,记得留下你的姓名和联系方式哦~ 事件概述 我们捕获了利用Couchdb权限绕过漏洞的攻击行为,攻击者通过创建管理员帐户,之后利用Couchdb任意命令执行漏洞执行下载恶意脚本,植入挖矿恶意程序...应用广泛,如BBC用在其动态内容展示平台,Credit Suisse用在其内部的商品部门的市场框架,Meebo,用在其社交平台(web和应用程序)。...8220下载一个配置文件1.json 并重命名,下载了rig、rig1、rig2三个样本并重命名,赋予了可执行权限,然后获取了受害主机的cpu核数,把配置文件内容和cpu核数作为参数执行suppoie这个程序...根据配置文件内容判断这是一个门罗币的挖矿样本,使用的是XMRig开源程序,查了一下这个钱包地址帐户因僵尸网络活动报告而被暂停。 ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
