首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux被kdevtmpfsi 挖矿病毒入侵

    Linux被kdevtmpfsi挖矿病毒入侵 一....错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi的相关文件 三.怎么预防处理这个病毒...1.首先停掉kdevtmpfsi的程序 ps aux 找到kdevtmpfsi的进程 删除掉与kdevtmpfsi相关的进程 kill -9 20267 kill -9 20367 2.删除Linux...的异常定时任务 crontab -l 查看定时任务 crontab -r 表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 如下图所示 3.结束kdevtmpfsi进程及端口占用...kill -9 28829 4.删除掉kdevtmpfsi的相关文件 cd /tmp ls rm -rf kdevtmpfsi rm -rf /var/tmp/kinsing 最后自己可以再检查一是否还有

    3K20

    Linux应急响应(三):挖矿病毒

    0x00 前言 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS...组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 。...D、漏洞修复 升级struts到最新版本 0x03 防范措施 针对服务器被感染挖矿程序的现象,总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows

    2K30

    linux实战清理挖矿病毒kthreaddi

    BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。...> busybox top image-20210629223207356 终于看到了这个kthreaddi进程,上网一查这个东西叫门罗币挖矿木马,伪装的实现是太好了和系统中的正常进程kthreadd...清理门罗币挖矿木马 常规方式先试试 > kill -9 6282 过一会又起来了,说明有守护进程 检查系统中的定时任务 > crontab -l 0 * * * * /tmp/sXsdc 发现一个这...去内核数据目录找找看 > ls -al ll /proc/6282 6282是刚才那个挖矿进程 image-20210629224536853 原来在 tmp下面有文章 ,但是被 deleted...pid reboot重启 总结 本次服务器被挖矿,有可能是docker没有TLS通讯加密,也有可能是redis的弱密码,被入侵。

    2K31

    Linux挖矿病毒处理过程

    分享一次Linux系统杀毒的经历,还有个人的一些总结,希望对大家有用。 进程占CPU 700%,进程名字是类似XY2Arv的6位随机大小写字母+数字的字符串。...最终发现是一个叫systemd或trump的病毒,是一个挖矿的病毒,在挖一种叫门罗币(XMR)的数字货币。...将会将Redis服务暴露到公网上,如果在没有开启认证的情况,可以导致任意用户在可以访问目标服务器的情况未授权访问Redis以及读取Redis的数据。...服务是以root权限启动,可以利用该问题直接获得服务器root权限 整个入侵流程大概是包含以下几个环节: 1、扫描开放6379端口的Linux服务器(后续感染扫描网段为1.0.0.0/16到224.255.0.0...文件里的利用命令将Redis的数据文件修改为/var/spool/cron/root,然后通过在Redis中插入数据,将下载执行脚本的动作写入crontab任务 3、通过脚本实现以上的相关行为,完成植入并启动挖矿程序

    2.1K10

    记一次linux遭遇挖矿病毒之旅

    中午登陆linux宝塔发现服务器CPU满了,造成了资源100%繁忙,后来在命令行top一看/tmp目录有个非法二进制文件占用了300%CPU,这种来历不明的二进制吃CPU的程序一般是挖矿恶意进程 ?...断定了确实是挖矿病毒。后来我查看 /var/log/secure发现文件丢失,last命令也不存在,使我察觉到,服务器应该被人非法登陆,注入了这种挖矿病毒。...后来我发现我的机器ssh公网iP连接失败,但是连接局域网IP可以连接,经过我和华为云技术支持相关人员配合,后台发现了,公网IP被阻塞了,它们给我的官方说法说法是一原因导致了 公网IP被阻塞。 1....有多人/频繁登陆连接华为云不同账号多台服务器的场景? 4. 本地是否有使用批量远程连接软件工具?...后来它们把服务器给我解封了,ssh可以使用了,所以我分析我的服务器应该是,被人用来恶意挖矿,华为云后台监测到我的机器做了非法操作,便将我的机器给封了(拉黑了)。

    1.4K10

    Linux 遭入侵,挖矿进程被隐藏排查记录

    今天来给大家分享这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...阻断挖矿程序链接外网服务(很重要) 在/etc/hosts里增加一条 127.0.0.1 g.upxmr.com 阻断挖矿程序链接外网下载可执行文件,不加了的话干掉服务又会起来(除非把服务器网断了) 2...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了,挖矿程序也没启动了。 ? ?...这次分享希望对也中挖矿程序的同学, 提供一些排查思路

    7.7K30

    新型浏览器挖矿技术可在浏览器窗口关闭的情况持续挖矿

    写在前面的话 在之前的文章中,我们给大家介绍了基于Web的挖矿恶意软件的相关内容。...与此同时,越来越多的服务器和 服务插件开始受到了挖矿型恶意软件的感染。 对于之前可持续性感染的挖矿型恶意软件,我们之前所分析的基于Web的恶意挖矿软件最大的缺点就是无法在目标系统中持续挖矿。...实际上,当用户关闭了浏览器之后,它们的挖矿活动将会停止,并影响攻击者的收益。 但是,我们近期发现了一种新型浏览器挖矿技术,而这种技术可在浏览器窗口关闭的情况持续挖门罗币。...我们发现: 当用户访问了恶意网站之后,该网站可在后台悄悄加载挖矿代码。 CPU占用率上升,但不会到100%。 用户浏览完毕,关闭Chrome窗口。 CPU活动仍保持高占用率,因为挖矿活动仍在进行。...正如之前所提到的,挖矿活动并不会占用掉目标用户设备的所有资源,这样才能尽可能地让恶意活动不被发现。

    1.6K90

    记一次Linux挖矿病毒的清除

    发现了大量类似XMR(门罗币缩写),矿池相关的字符串,无疑就是挖矿软件了。 但是删除重启后,还是会被二次创建。...因为一般挖矿软件都是开源程序,病毒只是给与他特定的参数为病毒作者挖矿。 这时我首先想到去查看有无定时任务。 通过crontab -l查看所有的定时任务。 ?...——段落引自《警惕利用 Linux 预加载型恶意动态链接库的后门》 查看该文件。 ? 我们尝试删除 ld.so.preload。提示权限不足。 ?...可以看到是通过yxarsh.shop/165载的。 我们请求一,果然下载到了。upx脱壳后,IDA打开。 这是添加定时任务的代码逻辑: ? 主要功能逻辑: ?...本人Linux苦手,有些地方记录可能不够专业。 行文也有些混乱还请表哥们多多指教,附上相关样本文件。我就不附SHA1了。 解压密码:infected

    10K32

    BTA | 康烁:基于linux挖矿操作系统

    以下是柏链道捷CTO、清华大学区块链中心高级工程师康烁给我们带来《基于Linux挖矿操作系统》,希望对你有所启发。 ?...整理 | Guoxi 大家好,我是来自柏链道捷的康烁,我今天给大家分享的主题是基于linux挖矿操作系统,着重给大家讲一些挖矿背后核心的理念,也就是它的共识算法。 什么是挖矿? ?...我们首先给大家介绍一什么是挖矿。 这里面肯定有以前已经参与过数字货币挖矿转账的朋友,他们对挖矿这个概念还是比较了解的,但是我还是想从最基本的概念去入手。挖矿是什么样的事情呢?...我们看一CASPER这个未来将要采用的POS算法是怎么解决Native POS遇到的问题。...挖矿操作系统CoinOS ? 前面讲了共识算法,你有什么样的共识算法,就有对应的挖矿算法。最后一页介绍我们自己以前做的小项目,挖矿操作系统CoinOS,这是一个基于linux的U盘操作系统。

    2.8K50

    ld-linux-x86-64挖矿木马实战记录

    现将几起病毒木马的处理过程整理一跟大家分享,本系列偏向于实战。...2、查看资源占用情况 输入top命令,其中PID为145598的进程占用大量的CPU资源,而内存占用率并不是很高,非常符合挖矿木马的特征,其中ld-linux-x86-64非常可疑。 ?...3、可疑文件定位 搜索ld-linux字符串,其中/dev/shm/.x/文件夹下的两文件可能有异常。上网搜ld-linux-x86-64关键字,发现有类似的挖矿木马的报道。 ?...后续安排 为了防止同类事件再次发生,急需对已发现问题进行整改,主要有以下几点: 由于木马会自动扫描ssh端口弱口令并自动传播,建议抽查或全面排查其他linux服务器是否有中同样的挖矿木马。...用top命令查看资源占用最高的进程是否为ld-linux-x86-64,如是,说明已中木马。

    5.1K30
    领券