【Linux】排查进程、挖矿病毒查找
排查某进程占用CPU较高
- 一、常用指令
- 二、排查记录
- 2.1 问题
- 2.2 排查`xmrig`进程
- 2.2.1 查看进程信息
- 2.2.2 查看定时启动任务
- 2.2.3 查看自启动服务
- 2.2.4 解决
- 2.3 排查`-bash`进程
- 2.3.1查看期父子进程以及命令
- 2.3.2 排查
- 2.3.2 解决
- 2.4 排查`zed`进程
- 2.5 安装杀毒软件排查
一、常用指令
top 发现
sudo pstree -asp pid
sudo netstat -anp | grep pid
sudo lsof -p pid 查看用了哪些文件
which zed
ls -lh /usr/sbin/zed 查得文件较大,有问题
sudo crontab -l 查看root的定时任务
systemctl status zed.service
sudo systemctl stop zed.service
sudo systemctl disable zed.service
二、排查记录
2.1 问题
实验室中有两台服务器,top指令发现有进程占用极高CPU,使用了20个核心,占用高达50%,使用kill指令停止进程后又会重新启动,两台服务器启动的进程不一样,一个是名为xmrig
(挖矿程序),一个名为-bash
,接下来分分别记录这两台服务器的两个进程来解决
2.2 排查xmrig
进程
2.2.1 查看进程信息
top指令查看占用
ps -aux |grep pid查看进程信息
pstree -asp pid 查看父子进程及命令
netstat -anp | grep pid查看网络连接,与新加坡的ip建立了连接
还可通过cd /proc/pid
进入到指定pid进程的文件夹中,其中fd文件夹记录了使用到的文件软链接
2.2.2 查看定时启动任务
- crontb -l 查看当前用户所有定时任务
- 可crontab -r 清除所有定时任务
2.2.3 查看自启动服务
- 执行
ll /etc/systemd/system/multi-user.target.wants/***.service
查看文件夹下所有自启动服务 - 执行
systemctl list-unit-files |grep enable
查看所有开启的自启动服务 - 网上查到是跟myservice.service有关,查看其内容
- 发现其执行的是
/usr/bin/sshd
,文件名称看似正常,实际上查看其内容,发现问题大了
2.2.4 解决
首先crontab -r 删除所有定时任务
执行
systemctl disable myservice.service
取消任务
删除找到的那些文件等sudo grep -rnR /bin/sshd ./*
查找当前目录下是否有某文件中含有/bin/sshd
字符内容
2.3 排查-bash
进程
2.3.1查看期父子进程以及命令
ps 发现其执行命令为systemd
pstree,每个核心开了一个在跑
查看其网络连接
发现其与国外某IP建立了tcp连接
2.3.2 排查
- 查看定时任务
crontab -l
- 还可查看自启动服务,执行
ll /etc/systemd/system/multi-user.target.wants/***.service
2.3.2 解决
执行sudo crontab -e
编辑定时任务,并删除定时任务,或者直接执行sudo crontab -r
删除所有定时任务
不再出现,成果解决
2.4 排查zed
进程
top 发现
pid为 2717
sudo pstree -asp 2717
sudo netstat -anp | grep 2717
sudo lsof -p 2717 查看用了哪些
which zed
ls -lh /usr/sbin/zed 查得文件较大,有问题
sudo crontab -l 查得为空
systemctl status zed.service
sudo systemctl stop zed.service
sudo systemctl disable zed.service
2.5 安装杀毒软件排查
sudo apt-get update
sudo apt-get install clamav clamav-daemon
clamscan --version
暂时停止服务
sudo systemctl stop clamav-freshclam
更新病毒库
freshclam
重启服务
sudo systemctl start clamav-freshclam
对home查杀
clamscan -r -i /home -l /var/log/clamscan.log
【Linux】排查进程、挖矿病毒查找相关推荐
- Linux 排查进程挂起【板砖~】
Linux 排查进程挂起 问题描述 lockf() 函数说明 命令 1 strace -p [pid] 进行跟踪 命令2 lsof -p [pid] 进行查看 解决办法 问题描述 Linux 系统下; ...
- 如何快速发现linux系统有挖矿病毒
使用系统监控工具:可以使用系统自带的top.htop等工具或第三方监控工具,查看系统的CPU.内存.网络等资源占用情况,如果发现异常占用情况,可能存在挖矿病毒. 查看进程信息:使用ps命令查看系统的进 ...
- linux服务器中毒挖矿,Linux服务器中挖矿病毒 二
标签: 使用top命令可以看见CPU 100%,但是进程中居然cpu占用率都很低. 使用ps -aux --sort=-pcpu|head -10 这现在露出了原形.发现一个占用几百的进程 Kmmcd ...
- linux排查进程退出原因面试,linux面试中经常会遇到的问题
Linux 面试题答案解析 1.绝对路径用什么符号表示?当前目录.上层目录用什么表示?主目录用什么表示? 切换目录用什么命令? 答案: 绝对路径: 如/etc/init.d 当前目录和上层目录: ./ ...
- linux 中了挖矿病毒
文章目录 中毒特征磁盘cpu 跑满 100% 如何处理 反复发作 中毒特征磁盘cpu 跑满 100% 如何处理 电脑中了挖矿病毒 ps -aux | grep kinsing root 19447 0 ...
- linux实战清理挖矿病毒kthreaddi
故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改.需要借助其他的工具. 安装busybox 系 ...
- Linux服务器.Xr1挖矿病毒解决
1. 发现问题 开发服务器启动一段时间后, tomcat挂掉, 重启时卡住, 通过free命令发现内存耗尽, 又查询不到占用高的进程 2. 问题定位 2.1 通过top命令查看, 发现 xr文件, C ...
- linux根据进程号PID查找启动程序的全路径
问题提出 有的时候想重启一个服务,但是不知道启动命令在哪,这就很尴尬,如果能通过进程ID反推到启动的脚本位置,那就很舒服了,结果还真能 复现 我们以重启redis为例,首先要找到服务的进程号 ps - ...
- Linux中处置挖矿病毒样本演示
一.病毒特征 1.top 查看cup使用率 CUP使用率极高,也可以看到它的PID 2.查看网络连接数 netstat -anpt | grep tcp 连接数较高. 二.处置 1.kill pid ...
- linux tomcat 进程杀掉_linux 查找tomcat进程并杀死
简言 公司项目运营在linux系统上,为了方便发包,自己写了一个自动发包程序.但是,经常会出现tomcat进程没有杀死的情况.为了解决此问题,写了一个处理此类进程的脚本.写下本文的就是记录一下这个脚本 ...
最新文章
- opencv 运动检测
- How web servers work?
- python中pos的用法_Python:数组、队列及堆栈的使用(list用法)--转
- Soring冲刺计划第三天(个人)
- 【Linux】一步一步学Linux——cal命令(75)
- JVM思维导图、正则表达式符号图、企业内部开发流程图
- ONNX系列三 --- 使用ONNX使PyTorch AI模型可移植
- Qt子窗口QMidSubwindow全屏出现的问题总结
- 毕业一年总结分享一些工作经验[PHP开发]
- Jvm处理Java Thread 的run方法中抛出异常的流程
- java GC 参数
- vim介绍与一些使用方式
- linux就是这个范儿之特种文件系统(1)
- php 360全景,HTML5 Canvas实现360度全景方法
- 电阻的耐功率冲击与耐电压冲击
- 服务器bios界面usb无线网卡,BIOS怎么开启无线网卡
- windows下载并安装JDK
- 孩子英语课听不懂?还要给孩子找线上外教英语吗?
- matlab 卡丹 公式,卡丹公式是什么?请写出来,并用例题加以解释,
- Android程序员的十大转型之路
热门文章
- [SQLite][Error Code] 21 misuse
- 算法图解(递归调用栈)
- Uniapp|Vue-汉字转拼音|获取汉字的首字母js实现
- java计算机毕业设计自修室座位预约系统源码+数据库+系统+lw文档+mybatis+运行部署
- 微信如何群删好友 微信群删好友的方法教程
- C/C++基础题029.DDD
- RTKlib源码解析:ppp和rtkpost中的周跳检测函数
- [bzoj3939_Usaco2015 Feb]Cow Hopscotch(线段树维护DP)
- 服务器root权限安全策略配置
- Python学习_038.列表_排序_revered逆序_max_min_sum