服务器bash进程占用cpu过多疑似中挖矿病毒记录

发现过程
因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下

服务器bash进程占用cpu过多疑似中挖矿病毒记录

排查过程

使用top可以看出zhy用户的bash进程cpu和内存占用都非常多,这很不正常

服务器bash进程占用cpu过多疑似中挖矿病毒记录

首先,看了一下定时任务,发现确实有个bash文件,查看了下它的内容发现执行的是zhy用户.bash目录下的x86_64文件

服务器bash进程占用cpu过多疑似中挖矿病毒记录

看到名字有点像系统的文件,但我在我自己的用户下发现根本没有.bash这个目录,而且这个定时任务也不是我同学设置的,那肯定有问题

服务器bash进程占用cpu过多疑似中挖矿病毒记录

又查看了下进程的通信信息,发现在与178.62.225.127进行通信

服务器bash进程占用cpu过多疑似中挖矿病毒记录

查了下这个ip的归属地发现确实和那篇博客一样也在外国

服务器bash进程占用cpu过多疑似中挖矿病毒记录

我又用十六进制编辑器打开了下那个x86_64文件发现被upx加了壳

服务器bash进程占用cpu过多疑似中挖矿病毒记录

写在后面

服务器用的4090,可能被不法分子给盯上了。多亏平时用conky在桌面上显示cpu占用信息才能及时发现问题,所以直接把zhy这个用户和它的家目录都给删了,希望之后不会再出问题吧。

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/11444

(0)
凯影的头像凯影
上一篇 2024年3月21日 下午4:41
下一篇 2024年3月22日 下午3:08

相关推荐

  • centos7 shell 支持中文显示

    其实很简单,让 shell 支持 utf8 即可。先使用locale命令看一下设置情况: LC_ALL没有设置,需要赋值en_US.UTF-8,很简单: 最后,不要忘了source一下bash_profile,让其生效。

    2023年3月14日
    1.5K00
  • 破解Esxi服务器中Windows虚机密码

    一.Esxi操作1.找到需要重置密码的Windows虚机点击操作,打开编辑设置 2.连接windows10的cd镜像 3.找到虚拟机选项,引导选择BIOS,并设置下次强制进入BIOS设置,然后保存 二.Windows虚机操作1.启动虚机,找到boot选项,将CD-ROM Drive设置为高优先引导后保存退出.重启虚机 2.重启后进入安装界面,点击下一步 找到…

    2023年10月11日
    1.7K00
  • Centos7开机进入救援模式的解决方法

    问题描述 Centos启动时提示如下错误信息: 解决办法 1、查询挂载 若提示如下信息: 则使用一下命令

    2022年11月26日
    2.1K00
  • 远程连接Windows Server 2003实例后在服务器上执行操作时速度缓慢,如何处理?

    问题描述 远程连接Windows Server 2003实例时,使用VNC登录服务器正常,但是使用其他远程连接方式登录服务器时,打开程序和浏览网站速度缓慢。 问题原因 网卡的Offload.Tx.LSO参数为开启状态导致该问题。 解决方案 您可以根据实际情况选择如下任意一种方案处理该问题,具体如下: 将网卡的Offload.Tx.LSO参数更改为Disabl…

    2023年11月17日
    1.3K00
  • 如何使用VNC进行远程桌面控制

    VNC是一款很实用的可以实现远程桌面控制的小工具,我遇到的有两种情况比较常见,一是有时候时候可能你会外出或离开自己办公室(但可以访问到办公司的网络),而很多资料都保存在办公室的台式机上,这时如果突然有问题需要用到那些资料,你又不方便立刻回去,这时你就可以考虑借助笔记本电脑通过VNC远程控制自己的台式机桌面进行操作,处理一些紧急问题;还有一种情况就是你外出或离…

    2024年5月13日
    1.6K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信