当前位置:首页 > Liunx教程 >

恶意进程(云查杀)-挖矿程序

发布时间:2020-02-05 10:06:13 作者:佚名 阅读:(343)

今天朋友收到阿里云的短信说服务器上面有挖矿程序在执行,接下来吾爱编程就为大家介绍一下恶意进程(云查杀)-挖矿程序的解决方法,有需要的小伙伴可以参考一下:

1、漏洞提示:

执行命令的进程:/dev/shm/.zeu970/.rsync/a/cron
恶意文件md5:84945e9ea1950be3e870b798bd7c7559
进程id:6,869
描述:通常黑客入侵后会植入挖矿程序赚取收益,该类程序占用CPU等资源,影响用户正常业务,危害较大。且该程序可能还存在自删除行为,或伪装成系统程序以躲避检测。如果发现该文件不存在,请检查是否存在可疑进程、定时任务或启动项。具体详情可查看帮助:https://helpcdn.aliyun.com/knowledge_detail/41206.html
ContainerId:-
K8sNamespace:-
K8sClusterId:-
ContainerInnerPath:-
K8sNodeId:-
K8sNodeName:-

2、解决方法:

    (1)、top查看服务器状况:

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                                                                                                         
 6869 test      20   0  301m 259m  788 S 60.1 12.9   1912:46 cron                                                                                                                                                                                                             
20359 root      20   0  104m 1300  492 S  2.3  0.1   0:00.07 dracut                                                                                                                                                                                                           
31777 root      10 -10  128m  14m 9664 S  2.0  0.7 872:09.89 AliYunDun                                                                                                                                                                                                        
19910 root      20   0 15020 1332 1008 R  0.3  0.1   0:00.02 top                                                                                                                                                                                                              
    1 root      20   0 19232 1600 1308 S  0.0  0.1   0:02.35 init

    (2)、结束掉该进程:

kill -9 6869

    (3)、找到位置删除挖矿程序:

cd /dev/shm/.zeu970/.rsync/a/

可以看到对应的文件:

QQ截图20200204121441.jpg

#删除文件
rm -f cron

3、检查是否有对应的定时任务:

crontab -l

QQ截图20200204121908.jpg

没有对应的任务,如果有的话,删除对应的定时任务。

4、检查用户列表,.ssh文件,开机启动:

cat /etc/passwd 检查是否有未知用户
cat ~/.ssh/authrized_keys 检查是否对未知用户授权
cat known_hosts 检查是否有未知的用host
/etc/rc.local /etc/rc.sysinit /etc/inittab /etc/profile 这些开机启动的系统配置目录下面可能有挖矿程序的脚本,检查一下

5、告警处理

黑客通常利用漏洞和弱口令入侵服务器,植入病毒文件,建议尽快检查漏洞和弱口令,避免黑客影响业务的正常运行。

以上就是吾爱编程为大家介绍的关于恶意进程(云查杀)-挖矿程序的彻底清除解决方法,了解更多相关文章请关注吾爱编程

欢迎分享转载→ 恶意进程(云查杀)-挖矿程序

© 2015-2019 - 吾爱编程网 版权所有 苏ICP备18033726号-1关于我们 - 网站声明 - 联系我们