1.发现病毒近日,因为自己搭建的个人网站做了一版更新,准备去服务器做部署。连接服务器的时候明显感觉到消耗的时间比以往要久,半天才响应过来。在测试网络没有问题之后,随即使用top命令看下进程情况,结果如下图所示 整齐划一的进程,且自己没有做过这样的部署。发现不对劲,于是马上使用kill命令干掉这些进程。神奇的事情发生了,这些进程就像不倒翁一样,几个kill命令过去它们又重新站了起来。2.解决问题于是立即将问题反映给...
28、Linux系统中病毒怎么解决
1)最简单有效的方法就是重装系统
2)要查的话就是找到病毒文件然后删除
中毒之后一般机器cpu、内存使用率会比较高
机器向外发包等异常情况,排查方法简单介绍下top 命令找到cpu使用率最高的进程
一般病毒文件命名都比较乱,可以用 ps aux 找到病毒文件位置
rm -f 命令删除病毒文件
检查计划任务、开机启动项和病毒文件目录有无其他可以文件等3)由于即使删除病毒文件不排除有潜伏病毒,所以最好是把...
今天某项目经理反馈学校的某台服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程...
案例描述早上接到IDC的电话,说我们的一个网段IP不停的向外发包,应该是被攻击了,具体哪个IP不知道,让我们检查一下。按理分析及解决办法首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面。650) this.width=650;" src="/upload/getfiles/default/2022/11/9/20221109034523726.jpg" title="1.png" />我登录到机器里面,查看了一下...
linux服务器中病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现中了挖矿病毒,很是恼火。因为我平时很少接触服务器,一般都是部署项目,配置域名就完事。所以遇到这种情况,只能在一旁看着干着急。后来在网上查阅了很多资料,现决定来整理一下,下次如果遇到服务器中病毒的情况,可以拿来参考一下。
一、服务器为什么会中病毒?
1)服务器中病毒,其实是因为黑客的入侵。入侵者的每一次入侵几乎都是从扫描开始的,扫描软...
突然发现公司测试服务器CPU过高,是这两个sysupdate, networkservice进程,很明显是被挖矿了,记录下来以供参考。
病毒会把一些文件给加i锁或a锁,导致无法修改数据,所以某些操作需要清除锁
这个是kdevtmpfsi的守护进程,把它kill掉,然后kill掉kdevtmpfsi,然后删文件. ps -aux | grep kinsing[root@localhost tmp]# ps -aux | grep kinsing
root 11459 0.0 0.0 112812 968 pts/0 S+ 11:57 0:00 grep --color=aut...
Linux 服务器上有挖矿病毒处理
分析
今天遇到病毒挖矿,有点小兴奋
来波分析:
看上面的症状是:攻击者通过docker入侵的【后面了解,可能是redis账号密码简单的原因被爆破的】
最奇诡的事,攻击者可能通过提权,获取到root的权限。然后一些列的挖矿病毒
大致流程图症状表现
服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程
解决
排查方法
首先:查看 bbb进程,使用 ps -ef | grep bbb?PS: 通过 ps -ef 命...
症状表现
服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。排查方法
首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi 命令查看,见下图。PS: 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l...
1. 昨天晚上同事打电话给我说自己的服务器上面的redis无故被清空了,并且查看aof 日志有很多 wget和write指令
一想就是大事不好.局域网中病毒了..
2. 今天早上到公司忙完一阵简单看了下,就发现了五台机器中病毒. (悲伤无以言表)
3. 现象: CPU暴高, 通过虚拟化控制台就能看到
4. 进入虚拟机简单查看一下. 使用top 就能看到
5. 最简单的查看流程. 先看计划任务crontab -e
中病毒无疑
删了这条记录,并且将刚才的哪个进程杀掉.
...
概要:
一、症状及表现
二、查杀方法
三、病毒分析
四、安全防护
五、参考文章
一、症状及表现
1、高CPU使用率,top命令被劫持,CPU统计数数据均为0,利用busybox 查看CPU占用率之后,发现CPU被大量占用;
*注:ls top ps等命令已经被病毒的动态链接库劫持,无法正常使用,大家需要下载busybox,具体的安装和下载步骤参见参考文章(https://blog.csdn.net/u010457406/article/details/89328869)。2、crontab 定时任务异常,存在以...
1、top查看是否有特别吃cpu和内存的进程,病毒进程kill是杀不死的,因为ps命令被修改2、ls -la /proc/病毒进程pid/ pwd为病毒进程程序目录 一般在/usr/bin下
3、/bin/ps,/bin/netsta程序都是1.2M的大小,显然被人掉包 ps 改成了ips
4、进入/usr/bin下 ls -lart 查看最近被修改的程序 .25unix为守护进程5、杀死守护进程 (先去掉i权限,然后删除,chattr命令被删除,去一台正常设备上拷贝一个正常的charrt命令,在/usr/sbin/下)...
使用top命令可以看见CPU 100%,但是进程中居然cpu占用率都很低。
使用ps -aux --sort=-pcpu|head -10
这现在露出了原形。发现一个占用几百的进程 Kmmcd.
kill -9 33102 把这个干掉,cpu占用一下子就小了。
打开crontab文件,其中最底下添加了一条记录,定时启动usr/lib/libiacpkmn.so.3.,删除!
用这个文件在百度中一搜,又是一个挖矿病毒。
这个文件还一下子删不掉,需要先修改属性再删除
chattr -i libiacpkmn.so.3
rm -f libiac...
