服务器清除挖矿病毒
⑴ win2008服务器中了挖矿病毒,求解答!
不能完全杀干净的前提下,备份好自己的数据,然后重装系统,不然这样耽误工作真的很麻烦
⑵ 云服务器中挖矿病毒的清除过程(二)
发现一台服务器,CPU使用率一直50%左右,top查看一进程名称为
-bash,按c查看详情,名称显示为python
十分可疑
杀掉进程,清空crontab内容,并删除此目录文件,发现过一阵进程又被启动起来了
查看/etc/cron.hourly,发现有一个sync文件,还是会定时执行,内容为
此文件还被加了保护权限,需要用chattr去除后删除
cron.daily cron.weekly cron.monthly里面也有
同样方法删除/bin/sysdrr
至此病毒被彻底清除
删除/opt/.new目录时,发现此目录下还有一个/opt/.md目录,内容如下
病毒运行原理是
其他常用的诊断命令
关联文章:
云服务器中挖矿病毒的清除过程
服务器中毒导致的wget等系统命令失效后的恢复
参考文章:
【PC样本分析】记录最近与挖矿病毒的斗智斗勇
【PC样本分析】记录最近与挖矿病毒的斗智斗勇(二)
⑶ 阿里云windows服务器中了挖矿的病毒怎么清理
光删除没用的,因为没有解决好漏洞。
建议是重做系统,然后找护卫神给你做一下系统安全加固,把漏洞彻底堵住才有效果。
⑷ miner挖矿木马该怎么清除
miner挖矿木马这种病毒现在经常遇到,在一般情况下使用电脑管家的杀毒功能时无法查杀。
这时需要重启电脑按F8进入电脑的安全模春迟姿式,在安全模式下,使用电脑旦嫌管家的病毒查杀,扒绝给电脑杀毒,在一般情况下的杀毒软件可以查杀到此病毒。
miner挖矿木马是消耗用户的电脑资源,进行挖矿,导致用户电脑资源和性能变低,一般看不出来,但是显卡或CPU占用很高,是电脑后台自行消耗显卡与CPU资源的木马病毒。现在十分常见。
⑸ 比特币挖矿病毒怎么去除
可以打开腾讯智慧安全的页面
然后在漏手蠢产品里面找到御点终端全系统
接薯凳着在里面选择申请使用腾讯御点,再去用病毒查杀功能杀返陪毒
⑹ 挖矿病毒怎么处理
挖矿病毒处理步骤如下:
1、查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。
6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。
7、查找敏感文件发现authorized_keys文件。
8、查看ssh日志文件查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。
⑺ 服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球
问题定位及解决步骤:
1、free -m 查看内存使用状态 ,发现free基本没了。--> 怀疑是服务有内存泄漏,开始排查
2、使用top命令观察,开启的服务占用内存量并不大,且最终文档在一个值,且服务为java应用,内存并没达到父jvm设置上限。按top监控占用内存排序,加起来也不会超过物理内存总量。查看硬盘使用量,占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素,怀疑mysql和nginx,开始排查
3、因为top命令看 mysql占用内存也再可控范围,是否存在connection占用过多内存,发现并不会,设置最大连接数为1000,最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查,但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。
4、最为费解的就是 通过free -m 查看的时候 基本全是used,cache部分很少,free基本没有。但top上又找不到有哪些进程占用了内存。无解
5、注意到有两个进程虽占用内存不多,但基本耗光了100%的cpu。开始想着占cpu就占了,没占内存,现在是内存不不够导致进程被kill的,就没注意这点。
6、实在搞不定,重启服务器,重启了所有服务,服务暂时可用,回家。在路上的时候发现又崩了。忐忑的睡觉。
7、早上起来继续看,这次留意注意了下那两个占用高cpu的进程,kdevtmpfsi 和 networkservice。本着看看是啥进程的心态,网络了下。真相一目了然,两个挖矿病毒。
突然后知后觉的意识到错误原因:
1、cpu占用率高,正常服务使用cpu频率较高的服务最容易最内存超标。(因为在需要使用cpu时没cpu资源,内存大量占用,服务瞬间崩溃),然后看top发现刚刚已经占用内存的进程已经被kill了,所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况,倒是服务一个一个逐渐被kill。
问题点基本定位好了,解决问题就相对简单很多:
通过网络,google,常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见,大致记录下要点。可能所有病毒都会有这些基础操作。
① 首先,查看当前系统中的定时任务:crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件,把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r,全部删除命令(或根据需求删除定时任务)
② 查找病毒文件 可以全部模糊搜索 清除, 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除
③ kill 病毒进程,但注意kill了可能马上就重启了。因为有守护进程,需要把病毒进程的守护进程也kill掉
④ 检查是否root用户被攻击,可能系统配置信息被更改。
⑤ 最好能理解病毒脚本,通过看代码看它做了些什么。针对脚本取修复系统。
⑻ 解决挖矿病毒的经历
线上一台服务器,CPU高达90%以上,经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果,很快就会自动恢复
排查步骤:
结果:
病毒被植入到了线上运行的某一docker容器内。
如何先确定是哪一容器再去删除搜索结果中的病毒文件?
我这台机器跑的容器不多,可以用复制文件的方法,先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以确定容器了。结果是php的容器出现了问题。
知道是具体是什么容器出现了问题,最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器,所以先启动了一个新php容器,修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。(nginx容器已经映射目录到宿主机)
修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录
测试线上环境正常后,删除原来的php容器。(这是自然也==直接删除了病毒文件)
执行 TOP命令,CPU占用正常。
平时防火墙和sellinux都关闭的话,服务器不要暴漏太多无用端口,出现问题应该最新通过进程名去查找文件的原始位置去分析问题,遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本
⑼ 服务器被检测出挖矿
有位朋友说,他服务器使用的好好的,服务商突然封了他服务器,说是被检测出挖矿,这位朋友一脸懵“我开游戏的,挖什么矿”。突然地关停服务器导致这位朋友损失惨重,那么为什么会被检测出挖矿,以及怎么处理呢?感兴趣的话就继续往下看吧~
遇到以上问题,需要先找服务器商对其说明实际情况,配合他们排查,基本上就是中了挖矿病毒。
最简单的方法就是重装系统,但是系统盘数据都会清空,这种办法适用于服务器里没什么需要备份的文件。如果选择重装系统,需要把自己的文件扫毒一遍确认安全后再导入服务器。
但是服务器里如果有很多重要的文件还有比较难配置的环境,那就需要排查删除挖矿程序,全盘扫毒,删除可疑文件,一个个修复病毒对系统的修改。
防范建议:
1.尽量不要使用默认密码和端口,改一个比较复杂的密码
2.可以使用宝塔面板登陆服务器
3.系统自带的防火墙、安全防护都不要关闭