清理服务器挖矿木马病毒
前言
假期远程办公,于是把服务器ip映射到了公网。不成想被人植入了挖矿木马病毒,在此记录一下这次发现和解决的经历。
目录
- 前言
- 如何确认是挖矿木马?
- 处理方式
- 参考
如何确认是挖矿木马?
先简单介绍一下,服务器装了Centos系统,今天突然发现使用 cd
命令时使用 Tab
键居然报了这样的错误:
cannot create temp file for here-document: No space left on device
然后使用命令 df -h
查看硬盘空间,发现根目录居然满了,接着(在root权限下)使用 ls -A
命令,才发现全是类似于 ethminer.tar
的文件,大概是这样:
一查ethminer,挖矿程序无疑。
使用 rm -rf ethminer*
尝试删除这些文件后,发现过一会又出现了。。于是猜测有定时脚本任务,使用 crontab -l
查看定时任务,回显:
@daily /var/tmp/.tmp/./.b4nd1d0
@reboot /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
* * * * * /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
@monthly /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
一看就不是什么好东西。使用vim查看一下,确诊服务器被人植入了ethminer挖矿木马无疑!
处理方式
首先,直接删除木马脚本以及下载的乱七八糟的东西,这里发现不止
/var/tmp
路径下有相关木马,/
、/root
等目录也惨遭荼毒。rm -rf /var/tmp/.tmp/./.b4nd1d0 rm -rf /var/tmp/.tmp/./.placi rm -rf /var/tmp/.tmp/./bin rm -rf /var/tmp/.ladyg0g0 rm -rf /usr/bin/.locationesclipiciu rm -rf /usr/bin/.pidsclip rm -rf /.b4nd1d0 rm -rf /root/.b4nd1d0 rm -rf /root/bin rm -rf /usr/.SQL-Unix rm -rf /usr/tmp rm -rf /usr/bin/sshd # 这里注意ethminer.tar.*文件不一定在哪个目录 rm -rf /root/ethminer* rm -rf /var/tmp/.tmp/./ethminer*#删除 sclipicibosu 用户 userdel -r sclipicibosu # 删除不成功就使用chmod修改/etc/passwd和/etc/shadow权限,再使用vim删除/etc/passwd和/etc/shadow该用户相关内容。 rm -rf /home/sclipicibosu# 恢复.bashrc文件 cp /etc/skel/.bash* /root/ cp /etc/skel/.bash* /home/admin/
然后,清除一下
crontab
定时任务crontab -e
将恶意的定时任务全都删掉,然后先按esc, 输入
:wq
,即保存并退出。重启,
reboot
关闭外网映射。
大功告成!
参考
- 记一次 挖矿程序入侵和处理
- root用户登录出现 -bash-4.2#
清理服务器挖矿木马病毒相关推荐
- 记录清理服务器挖矿木马warmup的命令
记录清理服务器挖矿木马warmup的命令 warmup 的 CPU占用率很高 清理命令: systemctl stop warmup systemctl disable warmup systemct ...
- 服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满) 前言:由于本人的阿里云服务器遭受攻击,被挖矿,导致CUP爆满,同时受到阿里云官方的邮箱.短信以及电话通知(监管部门是不允许服务器被直 ...
- 云服务器ECS挖矿木马病毒处理和解决方案
云服务器ECS挖矿木马病毒处理和解决方案 参考文章: (1)云服务器ECS挖矿木马病毒处理和解决方案 (2)https://www.cnblogs.com/owenma/p/10430599.html ...
- Linux运维之解决服务器挖矿木马问题
文章目录 1 挖矿木马 1.1 定义 1.2 挖矿特征 1.3 解决挖矿木马 1.3.1 阻断异常网络通信(非必需) 1.3.2 清除定时任务 1.3.3 清除启动项 1.3.4 清除SSH公钥 1. ...
- 如何解决服务器挖矿木马
服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了一些木马远控资源.17年后,挖矿木马慢慢变成互 ...
- Linux【问题记录 05】阿里云+腾讯云服务器挖矿木马 kthreaddk 处理记录+云服务器使用建议
1. 问题说明 有一段时间没有登录云服务器了,心里想着看看服务器有没有被木马占领,好巧不巧,阿里云和腾讯云都被占领了,更巧的是,都是 kthreaddk 进程,首先想到的是百度一下看看有没有解决办法, ...
- 服务器中木马病毒问题解决
生产环境一台服务器中了木马病毒,阿里云提示有挖矿程序在运行 top查看cpu占用率达到100%,并且是一个未知程序,停掉后占用率回归正常 之后发现存在一些程序被木马病毒替换,包括ps,ss,netst ...
- 服务器中木马病毒处理(CPU占用率很高)处理办法
参考:https://blog.csdn.net/wkfyynh/article/details/105206990 记录一下这个过程,方便后来人使用.如果遇到权限问题,在所有执行命令前使用sudo ...
- 腾讯云服务器遭入侵,安装挖矿木马病毒3
经历了上次的调整,还是被入侵了,这次找到了原因,shiro密钥Key被硬编码在代码里. 类似于这样: /*** 记住我*/public CookieRememberMeManager remember ...
- 一次挖矿木马病毒排查过程
兰眼发现该机器与挖矿网站有通信.通知用户进行查杀.电话得知北京刘工不方便,我们商讨后由我们代为安装火绒和rdpguard软件. 经过查杀,将RAR病毒处理后,截止到11:15,已经没有了病毒表现. 但 ...
最新文章
- 移动硬盘格式化了的资料找回方法
- linux中使用u盘和光驱的命令_Linux文件操作高频使用命令
- 数据库杂谈(一)——数据库基本概念
- 20那天android得知
- swift 怎样查看xcode 版本对应的swift版本和 iOS 等其他系统版本
- 计算机网络在我国的发展,04. 当前现状ISP典型架构 计算机网络在我国的发展
- Zepto.js 源码解析(emoji版)
- 一次ajax请求返回状态为Cancled的记录
- 著名的北邮ACM推荐50题
- 微信小程序车牌号输入组件(虚拟键盘)
- 美容院店务管理系统哪家好?
- 原生android tv 盒子,超强大的安卓7.0电视盒子是什么体验!
- 专业商标制作,免费logo在线设计
- java 中的radix_Java Scanner radix()用法及代码示例
- 【Get深一度】香农定理(Shannon Theory)
- 员工离职率预测,练手赛
- zigbee设备入网流程分析
- U盘启动如何进入pe
- 被垃圾分类逼疯?这个深度学习技术帮你做到垃圾自动分类
- Linux下安装bugzilla
热门文章
- otsu阈值分割算法原理_OpenCV学习30--阈值分割的OTSU算法
- excel mmult matlab,如何用excle计算矩阵/在EXCEL中如何计算矩阵行列式
- 判断101到200之间的素数
- CC2530按键控制呼吸灯
- python详解绘制风玫瑰图
- 微信小程序内容组件图标 icon
- 开源图像识别、imageai图像识别、对象识别、识别人、车、猫、狗等80种 简易版
- 51单片机SG90舵机控制原理
- 凯恩帝绝对坐标清零_凯恩帝100T数控车床怎么把加工数量时间清零
- 微信公众号 菜单 { “errcode“: 47001, “errmsg“: “data format error rid: 61b36b ...“}