服务器bash进程占用cpu过多疑似中挖矿病毒记录

发现过程
因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下

服务器bash进程占用cpu过多疑似中挖矿病毒记录

排查过程

使用top可以看出zhy用户的bash进程cpu和内存占用都非常多,这很不正常

服务器bash进程占用cpu过多疑似中挖矿病毒记录

首先,看了一下定时任务,发现确实有个bash文件,查看了下它的内容发现执行的是zhy用户.bash目录下的x86_64文件

服务器bash进程占用cpu过多疑似中挖矿病毒记录

看到名字有点像系统的文件,但我在我自己的用户下发现根本没有.bash这个目录,而且这个定时任务也不是我同学设置的,那肯定有问题

服务器bash进程占用cpu过多疑似中挖矿病毒记录

又查看了下进程的通信信息,发现在与178.62.225.127进行通信

服务器bash进程占用cpu过多疑似中挖矿病毒记录

查了下这个ip的归属地发现确实和那篇博客一样也在外国

服务器bash进程占用cpu过多疑似中挖矿病毒记录

我又用十六进制编辑器打开了下那个x86_64文件发现被upx加了壳

服务器bash进程占用cpu过多疑似中挖矿病毒记录

写在后面

服务器用的4090,可能被不法分子给盯上了。多亏平时用conky在桌面上显示cpu占用信息才能及时发现问题,所以直接把zhy这个用户和它的家目录都给删了,希望之后不会再出问题吧。

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/11444

(0)
凯影的头像凯影
上一篇 2024年3月21日 下午4:41
下一篇 2024年3月22日 下午3:08

相关推荐

  • 宝塔BT面板伪静态规则大全集合汇总

    宝塔伪静态规则程序列表 宝塔伪静态规则程序源码包括:WordPress、帝国EmpireCMS、dedecms、discuz、drupal、ecshop、laravel5、phpcms、phpwind、shopex、thinkphp、typecho、weengine、zblog、dabr、dbshop、emlog、maccms、mvc、niushop、sab…

    2023年10月25日
    1.5K00
  • MySQL 用户管理和权限管理

    在项目中,一个数据库有很多人需要使用,不能所有的人都使用相同的权限,如果人比较多,一人一个用户也很难管理。一般来说,会分超级管理员权限,管理员权限,读写权限,只读权限等,这样方便管理。当然,具体怎么管理权限根据实际情况来确定。无论如何,都需要创建多个用户来管理权限。root 是数据库的超级管理员用户,对于普通开发人员来说,权限太大了,如果不小心做了一些不可逆…

    2022年6月9日
    1.9K00
  • Linux firewall防火墙 换成 iptables 防火墙

    一、firewalld 增加开放端口 重启防火墙 二、iptables 增加开放端口 如果要修改防火墙配置,如增加防火墙端口3306 增加规则 保存退出后 最后重启系统使设置生效即可。 三、将firewalld防火墙换成iptables 1、直接关闭防火墙 2、设置 iptables service 如果要修改防火墙配置,如增加防火墙端口3306 增加规则 …

    2023年8月9日
    1.6K00
  • windows无法完成安装,若要在此计算机上安装,请重新启动安装

    然后,安装节奏就会继续正常执行。

    2023年2月24日
    2.0K00
  • Windows配置磁盘监控

    通过pushgateway的方式,主动推送监控数据给prometheus。 由于windows平台的诸多限制,导致推送比较艰难。有两种方法完成监控。 1.通过python等语言,做推送脚本。 2.曲线救国就是把监控数据scp发给Linux机器。再通过linux做二次加工推给pushgateway。 window server上配置环境 1.首先判断服务器磁盘…

    2022年11月25日
    1.5K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信