ubuntu清理挖矿病毒

news2024/12/24 3:17:12

0 序言

        我之前搭建的hadoop用于测试,直接使用了8088和9870端口,没有放入docker,从而没有端口映射。于是,就被不法之徒盯上了,hadoop被提交了很多job,使得系统被感染了挖矿病毒,在前几天阿里云站内消息告知我的轻量级服务器有挖矿行为时,我才着手处理此事。

1 清理挖矿程序的基本步骤

        先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。

        所谓后门,我检查了路由条目和定时任务:

  • 是否有多出来的定时任务(非自己加入的定时任务)?
  • 是否有多出来的路由条目?
  • 是否是应为集群中其他的服务器被感染,该服务器是被传染的?

        说实在的,我一开始就检查了前两条,这也为后来挖矿程序的死灰复燃埋下了伏笔。这样子,我的清理工作也变成了两轮。

2 清理工作记录

        我参考了这位博主的博文:

Linux挖矿病毒清理流程https://blog.csdn.net/ouxx2009/article/details/123479424

 2.1 先KILL挖矿进程(翻车)

        先用top查看cpu占用率大的进程的PID,如图所示:

         前一段被挡掉了,但是从第二条命令systemctl status 16760可知,该进程的PID是16760。先键入chmod 600 /run/systemd/transient/session-10938.scope降低权限,然后用rm命令删除。

        接着从下往上kill进程:

kill -9 16760 
kill -9 6632

2.2 清除定时任务(翻车)

        喜闻乐见,2min后这个进程又起来,哈哈。于是我就去检查了定时任务,使用crontab -e命令发现多了三条没见过的定时任务,直接手动删除即可,然后我等了10min多看他还没起来,就安心睡觉去了。

        第二天起来,我看了一眼,挖矿进程没起来,我还以为这就结束了。出乎意料,几天后站内信告知我仍有挖矿服务,挖矿进程又起来了!

2.3 排查路由条目和集群其他云服务器(DONE)

        我查看了控制台的监控图表,发现确实是过了几天才起来的,如图所示: 

        我提交了工单,阿里云的员工替我摸查了一遍,建议我摸查路由表。 

        于是我按照建议摸查了路由表,发现并没有多出来的路由条目,只有原来指向集群中另外两台腾讯云的路由,接着我开始摸查腾讯云的那两台服务器。结果发现那两台确实有很大可能是跳板机,我查看了那两台服务器的定时任务,发现也有多出来的定时任务,但用top命令查看了却没有进程。定时任务我全部清理了。然后又按照原顺序把挖矿进程又kill了一遍,暂时就到这里吧。

3 后续

        按照,上面这张图来看,我不知道还能再太平多久,我希望这个博客不要再有后续了,哈哈啊哈。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/350757.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

企业实施了IM移动平台后,可以在上面做什么?

企业实施了IM移动平台后,可以有很多服务场景,其中员工服务平台是一个很好的场景组合。企业固然是以赢利为目的的组织,然而,在一个企业中同样需要有人文关怀的氛围。这种人文关怀,说到底,就是一种以员工为本…

阿里巴巴主流数据库连接池Druid入门

一.数据库连接池的必要性 (一).传统数据库连接模式的的步骤 1.在主程序中创建连接 2.进行sql操作 3.关闭数据库连接 (二).传统数据库连接模式存在的问题 1.浪费时间:每次连接时都要验证登录和将conn加载到内存, 2.不能大规…

使用ThreadLocal实现当前登录信息的存取

有志者,事竟成 文章持续更新,可以关注【小奇JAVA面试】第一时间阅读,回复【资料】获取福利,回复【项目】获取项目源码,回复【简历模板】获取简历模板,回复【学习路线图】获取学习路线图。 文章目录一、使用…

【多线程与高并发】- 线程基础与状态

线程基础与状态 😄生命不息,写作不止 🔥 继续踏上学习之路,学之分享笔记 👊 总有一天我也能像各位大佬一样 🏆 一个有梦有戏的人 怒放吧德德 🌝分享学习心得,欢迎指正,大…

漏洞深度分析|CVE-2023-25141 sling-org-apache-sling-jcr-base存在JNDI注入漏洞

项目介绍 Apache Sling提供对可插入资源提供程序的支持。虽然这允许将自定义数据提供程序非常灵活和高效地集成到Sling中,但这种集成是在Sling的资源 API 级别上完成的。可能依赖于能够将资源适配到JCR节点并继续使用JCR API的遗留代码将不适用于此类资源提供者。 …

微信小程序自动化测试最佳实践(附 Python 源码)

目录:导读 小程序运行环境 微信小程序技术架构 使用 Chrome 调试小程序 小程序的性能测试 微信小程序的自动化测试​编辑 源码-微信小程序自动化测试 Python 版代码示例 小程序自动化测试需要跨过的几个坎 写在最后 随着微信小程序的功能和生态日益完善&…

“一号文件”聚焦三农,VR全景助农发展数字化

一号文件为何如此聚焦三农?因为三农是拼经济的基础,也是筑牢底盘的基本保证。现如今,农业基础还不稳固,而且城乡区域发展和居民收入差距依旧较大,为了解决城乡发展不平衡、农村发展不充分等矛盾,发展数字化…

Fuzz概述

文章目录AFL一些概念插桩与覆盖率边和块覆盖率afl自实现劫持汇编器clang内置覆盖率反馈与引导变异遗传算法fork server机制AFL调试准备AFL一些概念 插桩与覆盖率 边和块 首先,要明白边和块的定义 正方形的就是块,箭头表示边,边表示程序执行…

java有关类的初始化的分析

什么是类? 类是具有相同状态和相同行为的一组对象的集合 什么是对象? 万事万物皆为对象,可以理解为具体的个体就是对象 什么是面向对象的编程? 就是只在乎结果而不在乎过程,怎么理解这句话?举个例子&#x…

彻底废了,去干了两年外包...

先说一下自己的情况。大专生,17年通过校招进入湖南某软件公司,干了接近2年的点点点,今年年上旬,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了五年的功能测试…

MacOS Ventura 13.2.1 (22D68) 正式版带 OC 0.8.9 and winPE 双分区原版黑苹果镜像

2 月 14 日消息,苹果今日向 Mac 电脑用户推送了 macOS 13.2.1 更新(内部版本号:22D68),本次距离上次发布隔了 21 天,以修复Bug和安全更新为主。 镜像下载: 微信公众号: MacOS Vent…

docker 查看和分析镜像内文件

docker inspect docker inspect node:alpine查看元数据信息,一共有三层 "RootFS": {"Type": "layers","Layers": ["sha256:8c6806a0692459f603d074b4a7bdd38915650f1563f4ec728dad229475a52090","sha256:…

Python学习-----函数4.0(递归函数习题)

目录 递归算法 1.进制数转换 2.阶乘递归 3.递归获取两个数之间最小公倍数 4.递归获取两个数字之间最大公约数 5.斐波那契数列 5.递归求得数列的最值 6.倒序输出 7.递归二分法查找 递归算法 递归算法是把问题转化为规模缩小了的同类问题的子问题。然后递归调用函数(或过…

部署JDK+tomcat上线jspgou项目

系列文章目录 文章目录系列文章目录一、前言二、Tomcat部署1、Tomcat Http Server2、安装MySQL3、部署jspgou(电子商城)一、前言 什么是JAVA虚拟机 所谓虚拟机,就是一台虚拟的计算机。他是一款软件,用来执行一系列虚拟计算机指令…

背景透明(opacity vs background)

最近在做项目的时候,遇到透明度的相关设置。 常用的背景透明设置可分为两种,分别是: 一是给background设置透明度。二是利用opacity属性。 在跳了一些坑之后,本人更推荐给background设置透明度,为什么呢?…

【QCA6174】SDX12 WiFi QCA6174 bdwlan30.bin和bdwlan30.txt相互转化操作说明

1.从高通获bin文件和txt文件相互转化工具 软件包名称 QCA6174_BDF_Converter.zip 2.解压工具包,解压之后包括以下文件 3.从sdx12 sdk拷贝bdwlan30.bin 路径如下,将bdwlan30.bin放到QCA6174_BDF_Converter目录下 ./cnss_proc_firmware/cnss_proc/wlan…

Twitter账号老被封?一文教会你怎么养号

昨天龙哥给大家科普完要怎么批量注册Twitter账号,立刻有朋友来私信龙哥说里面提到的这个养号和防关联具体是个怎么样的做法。由于Twitter检测机制还是比较敏感的,账号很容易被冻结,所以养号是非常重要的步骤。其实要养好Twitter账号其实并不难…

docker-compose极速部署kafka3.2.0集群(含zookeeper集群)

极速部署kafka3.2.0集群准备工作:准备三台服务器部署Zookeeper集群部署kafka集群创建Topic开启JMX_PORTkafka集群管理工具使用的 KakfaStreaming准备工作:准备三台服务器 服务器地址缩写192.168.0.200200192.168.0.201201192.168.0.202202 一、完成服务…

格创东智与金羽新能合作|先进工业互联网助力固态电池智能化运营

2022年12月,浙江金羽新能源科技有限公司(以下简称金羽新能)与格创东智签订战略合作框架协议,并在湖州安吉举行金羽新能固态电池MES项目启动会。 固态电池是一种使用固体电极和固体电解质的电池。相较传统锂电池(液态电…

Android开发初识

文章目录一 Android发展历程二 开发工具Android Studio的发展历程三 硬件要求四 Android Studio 的安装和使用一 Android发展历程 安卓(Android)是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的操作系统。 由美国Google公…