linux挖礦程序排查
A. Linux系統被Carbon挖礦病毒入侵,殺掉之後過一段時間又起來了,有誰遇到過這種情況啊
這種病毒騰訊安全提到過
可以去下載安裝一個騰訊御點
打開之後,使用裡面的病毒查殺功能,直接就可以查殺這種電腦病毒了
B. linux挖礦教程
無所謂正版和盜版!你把windows系統碟放進光碟機,在BIOS裡面設成光碟機啟動,在出現問你是否選擇格式化系統盤( C盤)時,選擇格式化。之後,你就可以下一不,進行windows系統系統的安裝了。祝你好運!
C. 求助伺服器被挖礦程序入侵,如何排查
新客戶於最近向我們SINE安全公司咨詢,說他的伺服器經常卡的網站無法打開,遠程連接
伺服器的慢的要命,有時候PING值都達到300-500之間,還經常掉包,聽客戶這么一說,一般
會判斷為受到了CC+DDOS混合流量攻擊,再具體一問,說是機房那面沒有受到流量攻擊,這
就有點奇怪了,不是流量攻擊,還導致伺服器卡,網站無法打開,這是什麼攻擊?為了解決客
戶伺服器卡的問題,我們隨即安排安全工程師對他的Linux伺服器進行了安全檢測與安全部署。
挖礦木馬還設計了挖礦進程如果被客戶強制停止後,會自動啟動繼續挖礦,達到不間斷的挖礦,
仔細檢查發現是通過設置了每個小時執行任務計劃,遠程下載shell挖礦木馬,然後執行,檢查
當前進程是否存在,不存在就啟動挖礦木馬,進行挖礦。
對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據,以及感染蠕蟲的病
毒,如果數據被加密那損失大了,客戶是做平台的,裡面的客戶數據很重要,找出挖礦木馬後,
客戶需要知道伺服器到底是如何被攻擊的? 被上傳挖礦木馬的? 防止後期再出現這樣的攻擊
狀況。
通過我們安全工程師的安全檢測與分析,發現該伺服器使用的是apache tomcat環境,平台的開
發架構是JSP+oracle資料庫,apache tomcat使用的是2016年的版本,導致該apache存在嚴重
的遠程執行命令漏洞,入侵者可以通過該漏洞直接入侵伺服器,拿到伺服器的管理員許可權,
SINE安全工程師立即對apache 漏洞進行修復,並清除木馬,至此問題得以解決,客戶伺服器
一切穩定運行,網站打開正常。
D. linux 如何查看某個程序的進程號
方法一:PS
在ps命令中,「-T」選項可以開啟線程查看。下面的命令列出了由進程號為的進程創建的所有線程。
$ ps -T -p
「SID」欄表示線程ID,而「CMD」欄則顯示了線程名稱。
方法二: Top
top命令可以實時顯示各個線程情況。要在top輸出中開啟線程查看,請調用top命令的「-H」選項,該選項會列出所有Linux線程。在top運行時,你也可以通過按「H」鍵將線程查看模式切換為開或關。
$ top -H
要讓top輸出某個特定進程並檢查該進程內運行的線程狀況:
$ top -H -p
E. 如何查看linux中所有程序佔用資源情況
用 'top -i' 看看有多少進程處於 Running 狀態,可能系統存在內存或 I/O 瓶頸,用 free 看看系統內存使用情況,swap 是否被佔用很多,用 iostat 看看 I/O 負載情況...
top:
主要參數
d:指定更新的間隔,以秒計算。
q:沒有任何延遲的更新。如果使用者有超級用戶,則top命令將會以最高的優先序執行。
c:顯示進程完整的路徑與名稱。
S:累積模式,會將己完成或消失的子行程的CPU時間累積起來。
s:安全模式。
i:不顯示任何閑置(Idle)或無用(Zombie)的行程。
n:顯示更新的次數,完成後將會退出to
顯示參數:
PID(Process ID):進程標示號。
USER:進程所有者的用戶名。
PR:進程的優先順序別。
NI:進程的優先順序別數值。
VIRT:進程佔用的虛擬內存值。
RES:進程佔用的物理內存值。
SHR:進程使用的共享內存值。
S:進程的狀態,其中S表示休眠,R表示正在運行,Z表示僵死狀態,N表示該進程優先值是負數。
%CPU:該進程佔用的CPU使用率。
%MEM:該進程佔用的物理內存和總內存的百分比。
TIME+:該進程啟動後佔用的總的CPU時間。
Command:進程啟動的啟動命令名稱,如果這一行顯示不下,進程會有一個完整的命令行。
top命令使用過程中,還可以使用一些交互的命令來完成其它參數的功能。這些命令是通過快捷鍵啟動的。
<空格>:立刻刷新。
P:根據CPU使用大小進行排序。
T:根據時間、累計時間排序。
q:退出top命令。
m:切換顯示內存信息。
t:切換顯示進程和CPU狀態信息。
c:切換顯示命令名稱和完整命令行。
M:根據使用內存大小進行排序。
W:將當前設置寫入~/.toprc文件中。這是寫top配置文件的推薦方法。
free
1.作用
free命令用來顯示內存的使用情況,使用許可權是所有用戶。
2.格式
free [-b-k-m] [-o] [-s delay] [-t] [-V]
3.主要參數
-b -k -m:分別以位元組(KB、MB)為單位顯示內存使用情況。
-s delay:顯示每隔多少秒數來顯示一次內存使用情況。
-t:顯示內存總和列。
-o:不顯示緩沖區調節列。
uptime
18:59:15 up 25 min, 2 users, load average: 1.23, 1.32, 1.21
現在的時間
系統開機運轉到現在經過的時間
連線的使用者數量
最近一分鍾,五分鍾和十五分鍾的系統負載
參數: -V 顯示版本資訊。
vmstat
procs -----------memory---------- ---swap-- -----io---- --system-- ----cpu----
r b swpd free buff cache si so bi bo in cs us sy id wa
0 1 24980 10792 8296 47316 5 19 205 52 1161 698 26 3 1 70
1 觀察磁碟活動情況
磁碟活動情況主要從以下幾個指標了解:
bi:表示從磁碟每秒讀取的塊數(blocks/s)。數字越大,表示讀磁碟的活動越多。
bo:表示每秒寫到磁碟的塊數(blocks/s)。數字越大,表示寫磁碟的活動越多。
wa:cpu等待磁碟I/O(未決的磁碟IO)的時間比例。數字越大,表示文件系統活動阻礙cpu的情況越嚴重,因為cpu在等待慢速的磁碟系統提供數據。wa為0是最理想的。如果wa經常大於10,可能文件系統就需要進行性能調整了。
2 觀察cpu活動情況
vmstat比top更能反映出cpu的使用情況:
us:用戶程序使用cpu的時間比例。這個數字越大,表示用戶進程越繁忙。
sy: 系統調用使用cpu的時間比例。注意,NFS由於是在內核裡面運行的,所以NFS活動所佔用的cpu時間反映在sy裡面。這個數字經常很大的話,就需要注 意是否某個內核進程,比如NFS任務比較繁重。如果us和sy同時都比較大的話,就需要考慮將某些用戶程序分離到另外的伺服器上面,以免互相影響。
id:cpu空閑的時間比例。
wa:cpu等待未決的磁碟IO的時間比例。
iostat
用於統計CPU的使用情況及tty設備、硬碟和CD-ROM的I/0量
參數:
-c 只顯示CPU行
-d 顯示磁碟行
-k 以千位元組為單位顯示磁碟輸出
-t 在輸出中包括時間戳
-x 在輸出中包括擴展的磁碟指標
avg-cpu: %user %nice %sys %iowait %idle
20.25 0.18 2.61 76.39 0.57
%iowait 等待本地I/O時CPU空閑時間的百分比
%idle 未等待本地I/O時CPU空閑時間的百分比
Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn
hda 9.86 284.34 84.48 685407 2036
每秒傳輸數(tps)、每秒512位元組塊讀取數(Blk_read/s)、每秒512位元組塊寫入數(Blk_wrtn/s)和512位元組塊讀取(Blk_read)和寫入(Blk_wrtn)的總數量。
F. 挖礦病毒怎麼排查
登錄系統查看任務管理器,查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵,打開文件位置(先要在文件夾選項中選擇顯示隱藏文件及操作系文件)。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件,右鍵編輯打開這個文件查看,可查看到惡意進程與哪個挖礦組織通信。
通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息,一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。
根除病毒:將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行,此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。
如果是Linux系統請參考:網頁鏈接
G. linux下運行程序內存不斷增加如何查詢是那段代碼出現的問題!
如果是源代碼級調試的話, 可選的方法有: 使用專門的調試工具, 譬如 Profile/Tuner 之類的; 使用現成通用工具, 譬如 strace 之類的; 在代碼中加入條件狀態輸出, 可以根據變化找到熱點 ...
H. linux如何快速排查系統是否被黑
通過檢查機器被黑的症狀即可.
一般來說, 被黑的機器都會被黑客用於發包或者挖礦, 發包通過監控網卡流量數據即可檢測, 挖礦可以使用top命令檢測CPU佔用率, 發現異常後建議及時備份數據並重裝系統.
I. Linux系統怎麼挖礦
不適合挖礦,可以考慮星際比特的,最新產品蜂鳥H1是基於Linux系統的。