前言

假期远程办公,于是把服务器ip映射到了公网。不成想被人植入了挖矿木马病毒,在此记录一下这次发现和解决的经历。

目录

  • 前言
  • 如何确认是挖矿木马?
  • 处理方式
  • 参考

如何确认是挖矿木马?

先简单介绍一下,服务器装了Centos系统,今天突然发现使用 cd 命令时使用 Tab 键居然报了这样的错误:

cannot create temp file for here-document: No space left on device

然后使用命令 df -h 查看硬盘空间,发现根目录居然满了,接着(在root权限下)使用 ls -A 命令,才发现全是类似于 ethminer.tar 的文件,大概是这样:

一查ethminer,挖矿程序无疑。

使用 rm -rf ethminer* 尝试删除这些文件后,发现过一会又出现了。。于是猜测有定时脚本任务,使用 crontab -l 查看定时任务,回显:

@daily /var/tmp/.tmp/./.b4nd1d0
@reboot /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
* * * * * /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
@monthly /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown

一看就不是什么好东西。使用vim查看一下,确诊服务器被人植入了ethminer挖矿木马无疑!

处理方式

  1. 首先,直接删除木马脚本以及下载的乱七八糟的东西,这里发现不止 /var/tmp路径下有相关木马, //root 等目录也惨遭荼毒。

    rm -rf /var/tmp/.tmp/./.b4nd1d0
rm -rf /var/tmp/.tmp/./.placi
rm -rf /var/tmp/.tmp/./bin
rm -rf /var/tmp/.ladyg0g0
rm -rf /usr/bin/.locationesclipiciu
rm -rf /usr/bin/.pidsclip
rm -rf /.b4nd1d0
rm -rf /root/.b4nd1d0
rm -rf /root/bin
rm -rf /usr/.SQL-Unix
rm -rf /usr/tmp
rm -rf /usr/bin/sshd
# 这里注意ethminer.tar.*文件不一定在哪个目录
rm -rf /root/ethminer*
rm -rf /var/tmp/.tmp/./ethminer*#删除 sclipicibosu 用户
userdel -r sclipicibosu
# 删除不成功就使用chmod修改/etc/passwd和/etc/shadow权限,再使用vim删除/etc/passwd和/etc/shadow该用户相关内容。
rm -rf /home/sclipicibosu# 恢复.bashrc文件
cp /etc/skel/.bash* /root/
cp /etc/skel/.bash* /home/admin/

  2. 然后,清除一下 crontab 定时任务

    crontab -e

    将恶意的定时任务全都删掉,然后先按esc, 输入 :wq ,即保存并退出。

  3. 重启, reboot

  4. 关闭外网映射。

大功告成!

参考

  • 记一次 挖矿程序入侵和处理
  • root用户登录出现 -bash-4.2#

清理服务器挖矿木马病毒相关推荐

  1. 记录清理服务器挖矿木马warmup的命令

    记录清理服务器挖矿木马warmup的命令 warmup 的 CPU占用率很高 清理命令: systemctl stop warmup systemctl disable warmup systemct ...

  2. 服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)

    服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满) 前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱.短信以及电话通知(监管部门是不允许服务器被直 ...

  3. 云服务器ECS挖矿木马病毒处理和解决方案

    云服务器ECS挖矿木马病毒处理和解决方案 参考文章: (1)云服务器ECS挖矿木马病毒处理和解决方案 (2)https://www.cnblogs.com/owenma/p/10430599.html ...

  4. Linux运维之解决服务器挖矿木马问题

    文章目录 1 挖矿木马 1.1 定义 1.2 挖矿特征 1.3 解决挖矿木马 1.3.1 阻断异常网络通信(非必需) 1.3.2 清除定时任务 1.3.3 清除启动项 1.3.4 清除SSH公钥 1. ...

  5. 如何解决服务器挖矿木马

    服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了一些木马远控资源.17年后,挖矿木马慢慢变成互 ...

  6. Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议

    1. 问题说明 有一段时间没有登录云服务器了,心里想着看看服务器有没有被木马占领,好巧不巧,阿里云和腾讯云都被占领了,更巧的是,都是 kthreaddk 进程,首先想到的是百度一下看看有没有解决办法, ...

  7. 服务器中木马病毒问题解决

    生产环境一台服务器中了木马病毒,阿里云提示有挖矿程序在运行 top查看cpu占用率达到100%,并且是一个未知程序,停掉后占用率回归正常 之后发现存在一些程序被木马病毒替换,包括ps,ss,netst ...

  8. 服务器中木马病毒处理(CPU占用率很高)处理办法

    参考:https://blog.csdn.net/wkfyynh/article/details/105206990 记录一下这个过程,方便后来人使用.如果遇到权限问题,在所有执行命令前使用sudo ...

  9. 腾讯云服务器遭入侵,安装挖矿木马病毒3

    经历了上次的调整,还是被入侵了,这次找到了原因,shiro密钥Key被硬编码在代码里. 类似于这样: /*** 记住我*/public CookieRememberMeManager remember ...

  10. 一次挖矿木马病毒排查过程

    兰眼发现该机器与挖矿网站有通信.通知用户进行查杀.电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件. 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现. 但 ...

最新文章

  1. 移动硬盘格式化了的资料找回方法
  2. linux中使用u盘和光驱的命令_Linux文件操作高频使用命令
  3. 数据库杂谈(一)——数据库基本概念
  4. 20那天android得知
  5. swift 怎样查看xcode 版本对应的swift版本和 iOS 等其他系统版本
  6. 计算机网络在我国的发展,04. 当前现状ISP典型架构 计算机网络在我国的发展
  7. Zepto.js 源码解析(emoji版)
  8. 一次ajax请求返回状态为Cancled的记录
  9. 著名的北邮ACM推荐50题
  10. 微信小程序车牌号输入组件(虚拟键盘)
  11. 美容院店务管理系统哪家好?
  12. 原生android tv 盒子,超强大的安卓7.0电视盒子是什么体验!
  13. 专业商标制作,免费logo在线设计
  14. java 中的radix_Java Scanner radix()用法及代码示例
  15. 【Get深一度】香农定理(Shannon Theory)
  16. 员工离职率预测,练手赛
  17. zigbee设备入网流程分析
  18. U盘启动如何进入pe
  19. 被垃圾分类逼疯?这个深度学习技术帮你做到垃圾自动分类
  20. Linux下安装bugzilla

热门文章

  1. otsu阈值分割算法原理_OpenCV学习30--阈值分割的OTSU算法
  2. excel mmult matlab,如何用excle计算矩阵/在EXCEL中如何计算矩阵行列式
  3. 判断101到200之间的素数
  4. CC2530按键控制呼吸灯
  5. python详解绘制风玫瑰图
  6. 微信小程序内容组件图标 icon
  7. 开源图像识别、imageai图像识别、对象识别、识别人、车、猫、狗等80种 简易版
  8. 51单片机SG90舵机控制原理
  9. 凯恩帝绝对坐标清零_凯恩帝100T数控车床怎么把加工数量时间清零
  10. 微信公众号 菜单 { “errcode“: 47001, “errmsg“: “data format error rid: 61b36b ...“}