解决服务器被挖矿程序攻击导致CPU飙升的问题

  1. 通常情况下挖矿程序攻击后导致CPU飙升至80%以上,阿里云cpu监控占比,或者通过命令查看占比
  2. 使用top看看cpu占用率,发现sysupdate或networkservice对服务器CPU大量占用的情况

  3. 进入proc查看 cd /proc/$PID/       ls -ail进程文件linux目录    发现进程在/etc目录下

4.进入etc目录下,到etc下,除了sysupdate、networkservice 同时还有sysguard、update.sh,除了update.sh其余的都是二进制文件,应该就是挖矿的主程序以及守护程序了

5.打开update.sh文件,发现存在定时任务,根据目录删除其定时任务及目标

6.杀掉进程 删除文件

     首先杀进程,kill -9 {进程号},然后删除文件
    直接删除sysupdate你会发现无法删除,因为一般病毒会使用chattr +i命令,我们使用chattr -i sysupdate,然后再 rm -f sysupdate 即可正常删除。
   同理删除networkservice、sysguard、update.sh、config.json

7.如果你被攻破的是root用户(或者被攻破的用户权限较大),你可能还需要

7.1修复SELinux
  病毒脚本首先就会尝试关闭SELinux子系统,我们可以使用getenforce命令查看SELinux状态。
  如果你想要重新打开,可以修改/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,然后重新启动服务器。
  7.2wget命令和curl命令会被改为wge和cur,这样用着很变扭,改回来

8.如果存在防火墙可能需要修改防火墙配置策略(查看是否开启了异常端口或者关闭了正常端口,通常情况下回开启异常端口)

原文地址:https://www.cnblogs.com/duolian/p/11881098.html

时间: 2024-08-04 22:42:12

解决服务器被挖矿程序攻击导致CPU飙升的问题的相关文章

解决阿里云服务器提示挖矿程序风险

今天大早上收到阿里云邮件通知,提示有挖矿程序.一个激灵爬起来,折腾了一早上,终于解决问题了. 其实前两天就一直收到阿里云的通知,检测到对外攻击,阻断了对其他服务器6379. 6380和22端口的访问,当时没怎么当一回儿事,反正是我用来自己学习用的,就放着不管了,结果今天事态就大了.那就来解决吧. 首先xshell连接服务器,这时候输入命令时明显感觉巨卡. 肯定是cpu被占满了,输入 top -c 命令查看有个进程叫 kworkerds.占用了将近100%的CPU. 这 kworkerds 是个啥

SSH的攻击导致CPU利用率突发增高

网络中运行的路由器出现CPU使用率突发增高现象,同时出现以下告警信息: Current FSM is : SSH_Main_VersionMatch %Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa tch TO SSH_Main_Disconnect %Sep 14 03:49:37 2006 NE40-A-ZZ1 SSH/5/ver_major_err:Protocol major

当cpu飙升时,找出php中可能有问题的代码行

当你发现一个平时占用cpu比较少的进程突然间占用cpu接近100%时,你如何找到导致cpu飙升的原因?我的思路是,首先找到进程正在执行的代码行,从而确定可能有问题的代码段.然后,再仔细分析有问题的代码段,从而找出原因. 如果你的程序使用的是c.c++编写,那么你可以很容易的找到正在执行的代码行.但是,程序是php编写的,如何找到可能有问题的代码行呢?这个问题就是本文要解决的问题. 背景知识: 如果你对c语言不熟悉的话,可以略过,直接看 示例演示. 大家都知道php是一个解释性语言.用户编写的ph

  挖矿程序minerd,wnTKYg入侵分析和解决

挖矿程序minerd,wnTKYg入侵分析和解决                                   作者:CYH 一.起因:最近登陆一台redis服务器 发现登陆的时间非常长,而且各种命令敲大显示出的内容延迟很高 二,分析:  首先我安装了iftop监控em1这个网卡流量 Iftop -i  em1 发现里面的流量使用很低,没多少服务使用大的流量,没占用带宽,排除了ddos大流量攻击可能 接着我输入命令top 查看各种负载,一看吓一跳,cpu平均负载达到70左右,使用率达到99

解决centos被minerd挖矿程序入侵方法

记录一次服务器被入侵的解决方法 一:问题说明 1.我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况(top 命令),看到一个名为minerd的进程占用了99.5%的CPU  2.minerd是个挖矿程序,什么是"挖矿",特此百度了一下, 所谓"挖矿"实质上是用计算机解决一项复杂的数学问题,来保证比特币网络分布式记账系统的一致性.比特币网络会自动调整数学问题的难度,让整个网络约每10分钟得到一个合格答案.随后比特币网络

阿里云服务器被挖矿病毒minerd入侵的解决方法

早晨上班像往常一样对服务器进行例行巡检,发现一台阿里云服务器的CPU的资源占用很高,到底是怎么回事呢,赶紧用top命令查看了一下,发现是一个名为minerd的进程占用了很高的CPU资源,minerd之前听说过,是一种挖矿病毒,没有想到我负责的服务器会中这种病毒啊,赶紧的寻找解决的方法.下面是我把minerd给杀掉的过程,希望对大家有帮助. 步骤如下: 1.关闭访问挖矿服务器的访问 [[email protected]~]# iptables -A INPUT -s xmr.crypto-pool

记一次服务器被挖矿经历与解决办法

记一次服务器被挖矿经历与解决办法 在最近的某一天里面,中午的一个小息过后,突然手机的邮件和公众号监控zabbix的告警多了起来.我拿起手机一看原来是某台服务器上的CPU跑满了,就开始登上去看一下是哪个脚本导致负荷高的(在期间使用top -d 1命令查看负荷占用情况).可以静下来想了下,中午大家都在休息不应该CPU负载会这么高的,心里想80%是服务器被黑了. 后来发现是/tmp/ddgs.3013和/tmp/qW3xT.2这两个文件跑满了服务器CPU,后来决定先kill掉文件PID和删除/tmp目

记一次window服务器木马排查(后门植入挖矿程序)

1,新项目需要一台windows服务器,安装所需环境和服务后,发现服务器资源不足无法运行,查看任务管理器,发现可疑程序占满了CPU 通过百度发现,这个一个挖矿程序,显然是被后门植入了矿机,果断杀掉进程,删掉文件 第二天,发现CPU又被挖矿沾满,经过分析,这个后门程序,和系统的svchost.exe很像,删除过后一直自动新建出来. 通过一个一个的排查进程,发现一个可疑进程,和程序,经过仔细的对比了解,可疑判断这是一个后门木马 由于服务器跑的服务比较多,不能开防火墙,只能选择第三方防护软件,综合对比

Linux下挖矿程序解决办法

前言 因服务器无意间CPU高达96%,访问很慢:在排查问题的时候竟然发现了服务器被挂上了挖矿程序:1.挖矿程序的名称列表:networkservicesysguardupdate.shconfig.jsonsysupdateskow930kdkow709kd 2.挖矿程序的日志名称列表101_og275_og2_og630ogsess*****3.处理方法1) 使用top方法找到所有可疑文件进程的PID号2) #kill -9 $PID3) 找到文件所在目录,删除所有可执行文件 #ls -l /