服务器bash进程占用cpu过多疑似中挖矿病毒记录

发现过程
因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下

服务器bash进程占用cpu过多疑似中挖矿病毒记录

排查过程

使用top可以看出zhy用户的bash进程cpu和内存占用都非常多,这很不正常

服务器bash进程占用cpu过多疑似中挖矿病毒记录

首先,看了一下定时任务,发现确实有个bash文件,查看了下它的内容发现执行的是zhy用户.bash目录下的x86_64文件

服务器bash进程占用cpu过多疑似中挖矿病毒记录

看到名字有点像系统的文件,但我在我自己的用户下发现根本没有.bash这个目录,而且这个定时任务也不是我同学设置的,那肯定有问题

服务器bash进程占用cpu过多疑似中挖矿病毒记录

又查看了下进程的通信信息,发现在与178.62.225.127进行通信

服务器bash进程占用cpu过多疑似中挖矿病毒记录

查了下这个ip的归属地发现确实和那篇博客一样也在外国

服务器bash进程占用cpu过多疑似中挖矿病毒记录

我又用十六进制编辑器打开了下那个x86_64文件发现被upx加了壳

服务器bash进程占用cpu过多疑似中挖矿病毒记录

写在后面

服务器用的4090,可能被不法分子给盯上了。多亏平时用conky在桌面上显示cpu占用信息才能及时发现问题,所以直接把zhy这个用户和它的家目录都给删了,希望之后不会再出问题吧。

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/11444

(0)
凯影的头像凯影
上一篇 2024年3月21日 下午4:41
下一篇 2024年3月22日 下午3:08

相关推荐

  • MinIO单机部署并配置后台运行(Systemd)

    MinIO单机部署并配置后台运行(Systemd) 1. 下载并安装minio主程序 2. 配置运行所需要的环境变量 3. 配置Systemd服务 记得编辑完成后使用命令systemctl daemon-reload重启systemd服务 4. 运行MinIO服务 5. 配置域名访问 重启nginx服务,然后开始开始享受你的MinIo吧

    2023年3月10日
    2.4K00
  • 通过远程桌面连接Windows实例,提示“为安全考虑,已锁定该用户账户,原因是登录尝试或密码更改尝试过多”错误怎么办?

    问题描述 使用远程桌面连接Windows系统的ECS实例,提示“为安全考虑,已锁定该用户账户,原因是登录尝试或密码更改尝试过多”错误,具体报错信息如下图所示。 问题原因 Windows系统的ECS实例系统组策略中配置了用户锁定策略,在登录时输入错误的密码次数过多,该账户会被锁定,导致远程桌面无法登录。 解决方案 您可以修改Windows实例组策略账户锁定阈值…

    2023年11月13日
    2.2K00
  • Windows 10提供配置L2TP VPN连接公司网络

    1、打开电脑网络设置依次点击【开始】—-【设置】—-【网络和Internet】 2、设置VPN连接 在【VPN】标签中点击【添加VPN连接】 按照截图中选择, 注意: 1、服务器名称填写IP 2、VPN类型选择:使用证书的L2TP/IPsec 2、用户名填写分配的用户名 3、密码填写分配的密码 3、修改网络配置 依次点击【以太网】&#…

    2025年3月21日
    2.3K00
  • ansible基础用法

    今天需要同时对200+机器进行操作,使用ansible进行处理 首先使用的是ubuntu22.04的机器,一键安装ansible 安装完成后,需要对ansible.cfg配置文件进行修改,在当前目录下,新建 ansible.cfg 文件 配置文件完成后,需要创建hosts主机组,新建 hosts 文件 最后进行机器验证 这样就说明,你的ansible主机可以…

    2023年11月7日
    1.6K00
  • Windows 2012的IE增强的安全配置如何关闭

    1.我们用IE访问站点,经常出现IE警告信息,这是因为IE增强的安全配置引起的,要正常访问都需要勾选添加信任此网站。 2.下面来说下如何取消这个设置 找到,控制面板\所有控制面板项\管理工具\服务器管理器 3.点击“本地服务器”–“IE增强的安全配置 ”后面的“启用 4.再次打开IE,提示“Internet Explorer 增强的安全配置未启用…

    2022年7月2日
    1.7K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信