记一次简单的清理挖矿程序过程

收到告警信息,有一台服务器被攻击,留下了挖矿程序。清理过程如下:

1、top命令找到可疑程序:

2、找到之后,就把这个程序kill掉了,但是过了一会儿,发现程序又自动起来了

3、怀疑有定时任务,于是查看定时配置,发现了可疑的配置:

4、注释掉定时任务(没有立即删除,先注释掉了)

5、重新杀掉新的libstdc进程

6、查找本地是否存在i.sh和libstdc文件,发现没有i.sh,有libstdc这个文件:

[[email protected] ~]# find / -name "i.sh"
[[email protected] ~]# find / -name "libstdc"
/etc/libstdc

7、删除/etc/libstdc文件。但是在文件删除时遇到了报错:

[[email protected] etc]# rm -rf libstdc
rm: cannot remove ‘libstdc’: Operation not permitted

查看了libstdc文件的权限,没有发现问题。rm命令也也没有发现被设置了别名。经过网上查询才知道可能是libstdc文件被设置了隐藏属性:

[[email protected] etc]# lsattr libstdc
----i--------e-- libstdc

去掉隐藏属性,再删除文件就可以了

[[email protected] etc]# chattr -i libstdc
[[email protected] etc]# rm -rf libstdc
[[email protected] etc]#

8、检查进程,发现进程没有再起来了。

9、整个开了两个窗口,一个窗口删除进程、文件等操作,一个窗口随时关注程序是否自动起来。

原文地址:http://blog.51cto.com/10950710/2096860

时间: 2024-10-12 03:00:49

记一次简单的清理挖矿程序过程的相关文章

记一次window服务器木马排查(后门植入挖矿程序)

1,新项目需要一台windows服务器,安装所需环境和服务后,发现服务器资源不足无法运行,查看任务管理器,发现可疑程序占满了CPU 通过百度发现,这个一个挖矿程序,显然是被后门植入了矿机,果断杀掉进程,删掉文件 第二天,发现CPU又被挖矿沾满,经过分析,这个后门程序,和系统的svchost.exe很像,删除过后一直自动新建出来. 通过一个一个的排查进程,发现一个可疑进程,和程序,经过仔细的对比了解,可疑判断这是一个后门木马 由于服务器跑的服务比较多,不能开防火墙,只能选择第三方防护软件,综合对比

一个简单的键盘钩子程序

实现适时监视键盘,并将按键信息保存在TXT文件中的程序       Windows系统是建立在事件驱动的机制上的,说穿了就是整个系统都是通过消息的传递来实现的.而钩子是Windows系统中非常重要的系统接口,用它可以截获并处理送给其他应用程序的消息,来完成普通应用程序难以实现的功能.钩子的种类很多,每种钩子可以截获并处理相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取.启动和关闭应用程序的消息等.本文在VC6编程环境下实现了一个简单的键盘钩子程序,并对Win32全局钩子的运行机制.Win

C盘清理小程序制作

引言:大家都知道,随着时间的推荐,我们电脑系统的C盘缓存的临时数据.无用数据会越来越多,这会导致我们的系统运行速度被大大拖慢,所有这里教大家怎么制作一个简单的清理C盘临时数据和无用数据的小程序.制作步骤: 新建一个TXT文件,命名为:系统清理.bat 用记事本打开,然后编辑,写入以下代码:代码清单: @echo off echo 正在清理系统垃圾文件,请稍等...... del /s /f /q c:\windows\temp\*.* rd /s /q c:windows\temp md c:\

用L脚本语言开发一个简单的局域网聊天程序

#scp #这是一个简单的局域网聊天程序的例子 定义:字符串,string1 定义:字符串,string2 #addr1是对方的地址 #addr2是自己的地址 #如果addr1和addr2相同,就是自己和自己聊天 定义:地址,addr1,127.0.0.1,27015 定义:地址,addr2,127.0.0.1,27015 定义:整数,字节数,0 #在自己的UDP端口上监听 定义:网络连接,conn2,UDP 监听:conn2,addr2 #连接对方的UDP端口 定义:网络连接,conn1,UD

  挖矿程序minerd,wnTKYg入侵分析和解决

挖矿程序minerd,wnTKYg入侵分析和解决                                   作者:CYH 一.起因:最近登陆一台redis服务器 发现登陆的时间非常长,而且各种命令敲大显示出的内容延迟很高 二,分析:  首先我安装了iftop监控em1这个网卡流量 Iftop -i  em1 发现里面的流量使用很低,没多少服务使用大的流量,没占用带宽,排除了ddos大流量攻击可能 接着我输入命令top 查看各种负载,一看吓一跳,cpu平均负载达到70左右,使用率达到99

iOS开发UI篇—使用嵌套模型完成的一个简单汽车图标展示程序

iOS开发UI篇—使用嵌套模型完成的一个简单汽车图标展示程序 一.plist文件和项目结构图 说明:这是一个嵌套模型的示例 二.代码示例: YYcarsgroup.h文件代码: // // YYcarsgroup.h // 07-汽车展示(高级) // // Created by apple on 14-5-28. // Copyright (c) 2014年 itcase. All rights reserved. // #import <Foundation/Foundation.h> @

一个简单 的Shell 显示程序

#!/bin/bash clear declare FirstName Greeting   Greeting="Hello ," echo "" echo "Enter Your First Name:" read FirstName echo "$Greeting $FirstName" 首先   vim  Print  回车 然后   i   进入插入状态 编辑以上代码,Esc 键回车 输入   chmod  711 P

第一章开发简单的Java应用程序

1.什么是程序? 程序一词来源于生活,通俗点讲就是把生活的的事用程序编写出来 并执行. 2.为什么要学习Java呢? Java是Sun Microsystems于1995年推出的高级编程语言 JavaSE,JavaEE,javaME以发展成熟 JavaSE:开发和部署在桌面 JavaEE:企业版本帮助开发程序等等 JavaME:Java ME 为在移动设备和嵌入式设备 3.开发程序该如何进行? 分为三步走: 1.编写源程序   2.编译源程序   3.最后运行 4.Java程序框架: publi

简单的购物车小程序

1 # -*- coding:utf-8 -*- #简单的购物车小程序 author:李学松 2 shopping_cart =[] 3 product_list_tatol = "---product list----" 4 welcome = "-----------welcome to shopping marketi----------" 5 product_list = [ 6 ('iphone',5800), 7 ('lenovo',900), 8 ('