linux清理挖矿病毒
Ⅰ 挖矿病毒怎么排查
登录系统查看任务管理器,查看占用内存较大且无法关闭的进程。进程上点击鼠标右键,打开文件位置(先要在文件夹选项中选择显示隐藏文件及操作系文件)。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件,右键编辑打开这个文件查看,可查看到恶意进程与哪个挖矿组织通信。
通过查看系统操作日志可分析出病毒的来源、启动时间等信息,一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。
根除病毒:将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行,此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。
如果是Linux系统请参考:网页链接
Ⅱ 求助服务器被挖矿程序入侵,如何排查
新客户于最近向我们SINE安全公司咨询,说他的服务器经常卡的网站无法打开,远程连接
服务器的慢的要命,有时候PING值都达到300-500之间,还经常掉包,听客户这么一说,一般
会判断为受到了CC+DDOS混合流量攻击,再具体一问,说是机房那面没有受到流量攻击,这
就有点奇怪了,不是流量攻击,还导致服务器卡,网站无法打开,这是什么攻击?为了解决客
户服务器卡的问题,我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。
挖矿木马还设计了挖矿进程如果被客户强制停止后,会自动启动继续挖矿,达到不间断的挖矿,
仔细检查发现是通过设置了每个小时执行任务计划,远程下载shell挖矿木马,然后执行,检查
当前进程是否存在,不存在就启动挖矿木马,进行挖矿。
对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据,以及感染蠕虫的病
毒,如果数据被加密那损失大了,客户是做平台的,里面的客户数据很重要,找出挖矿木马后,
客户需要知道服务器到底是如何被攻击的? 被上传挖矿木马的? 防止后期再出现这样的攻击
状况。
通过我们安全工程师的安全检测与分析,发现该服务器使用的是apache tomcat环境,平台的开
发架构是JSP+oracle数据库,apache tomcat使用的是2016年的版本,导致该apache存在严重
的远程执行命令漏洞,入侵者可以通过该漏洞直接入侵服务器,拿到服务器的管理员权限,
SINE安全工程师立即对apache 漏洞进行修复,并清除木马,至此问题得以解决,客户服务器
一切稳定运行,网站打开正常。
Ⅲ Linux.coinminer木马如何清除
这个就看个文件名,没办法准确看是不是病毒的最好还是用安全软件进行一下检测可以装个电脑管家,然后选择病毒查杀,把这个病毒从电脑删除了就行
Ⅳ 如何清除linux病毒
方法/步骤
首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面
我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。
这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。
这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的木马主进程。
我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。
可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。
在/etc/init.d/目录下面也发现了这个文件。
里面的内容是开机启动的信息,这个我们也给删掉
到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。
后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如"chattr -i /tmp",然后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。
Ⅳ /usr/sbin/kworker 是什么文件
/usr/sbin/kworker 怀疑挖矿病毒。
使用clamscn进行病毒扫描
中了木马和后门全部中招了
然后用clamsan -r --beli -i /usr/bin/kworker --remove将病毒清理掉,一起学习linux
还有一个关联的netfs也要清理掉clamsan -r --beli -i /usr/bin/netfs --remove 将病毒清理掉
下一步:修改root密码重新启动 发现看worker就没有了。
Ⅵ tasklsv.exe挖矿病毒如何彻底清除
请勿访问陌生网站,在陌生网站浏览、下载很可能导致中毒。
若电脑中存在木马或者病毒程序,安装一款安全软件(例如:电脑管家等)。使用安全软件进行扫描全盘即可发现病毒并删除。若无法处理或者出现错误请尝试备份重要资料后重新安装系统。
若手机中存在木马或者病毒程序,安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的病毒,点击一键清除即可删除。
Ⅶ 可可软件总是在后台运行挖矿病毒软件怎么清理
可可自动发软件是个骗子,软件都是病毒
Ⅷ 服务器上如何清除NrsMiner挖矿病毒
挖矿病毒完整清除过程如下,请在断网情况下进行:
1.停止并禁用Hyper-VAccess Protection Agent Service服务;
2.删除C:Windowssystem32NrsDataCache.tlb;
3.删除C:.dll,若删除失败,可重命名该文件为其他名称;
4.重启计算机;
5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录;
6.删除C:Windowssystem32SecUpdateHost.exe。
7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安装国内主流杀毒软件,及时更新至最新病毒特征库。
Ⅸ Linux系统被Carbon挖矿病毒入侵,杀掉之后过一段时间又起来了,有谁遇到过这种情况啊
这种病毒腾讯安全提到过
可以去下载安装一个腾讯御点
打开之后,使用里面的病毒查杀功能,直接就可以查杀这种电脑病毒了
Ⅹ xmr挖矿病毒怎么删除
只要是病毒肯定就可以删除
这种病毒属于顽固病毒的一种得需要到安全模式下杀毒
杀毒软件选择也很重要,得选择有针对这种病毒的专杀工具才行,可以使用电脑管家杀毒。