服务器bash进程占用cpu过多疑似中挖矿病毒记录

发现过程
因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下

服务器bash进程占用cpu过多疑似中挖矿病毒记录

排查过程

使用top可以看出zhy用户的bash进程cpu和内存占用都非常多,这很不正常

服务器bash进程占用cpu过多疑似中挖矿病毒记录

首先,看了一下定时任务,发现确实有个bash文件,查看了下它的内容发现执行的是zhy用户.bash目录下的x86_64文件

服务器bash进程占用cpu过多疑似中挖矿病毒记录

看到名字有点像系统的文件,但我在我自己的用户下发现根本没有.bash这个目录,而且这个定时任务也不是我同学设置的,那肯定有问题

服务器bash进程占用cpu过多疑似中挖矿病毒记录

又查看了下进程的通信信息,发现在与178.62.225.127进行通信

服务器bash进程占用cpu过多疑似中挖矿病毒记录

查了下这个ip的归属地发现确实和那篇博客一样也在外国

服务器bash进程占用cpu过多疑似中挖矿病毒记录

我又用十六进制编辑器打开了下那个x86_64文件发现被upx加了壳

服务器bash进程占用cpu过多疑似中挖矿病毒记录

写在后面

服务器用的4090,可能被不法分子给盯上了。多亏平时用conky在桌面上显示cpu占用信息才能及时发现问题,所以直接把zhy这个用户和它的家目录都给删了,希望之后不会再出问题吧。

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/11444

(0)
凯影的头像凯影
上一篇 2024年3月21日 下午4:41
下一篇 2024年3月22日 下午3:08

相关推荐

  • IIS 的打开与重启

    windows普通版的启用 打开控制面板 启用IIS功能 控制面板 – 所有控制面板项,程序和功能窗口,左侧点击启用或关闭 Windows 功能 Windows 功能窗口,找到并勾选Internet Information Services 重启电脑 Windows Service版的启用 windows 2008 右键计算机,点击管理 在服务器…

    2022年7月15日
    80100
  • Docker Dockerfile 使用方法

    Dockerfile 介绍 当使用Docker构建容器化应用程序时,Dockerfile是一个用于定义容器镜像的文本文件。它包含了一系列指令,告诉Docker如何从基础镜像(通常是官方或自定义的操作系统镜像)构建出最终的镜像,以及如何配置容器中的环境、文件和应用程序。 Dockerfile 的编写是构建容器的基础,它允许您定义容器的构建步骤、环境和配置。通过…

    2024年2月2日
    43100
  • Centos7系统如何查看系统日志

    Systemd是Linux系统工具,Systemd拥有强大的解决与系统日志记录功能-systemd-journald。日志目录一般是在/var/log/journal,记录的是二进制文件,我们可以通过journalctl进行查看。 日志的配置文件是/etc/systemd/journald.conf。 常用的操作有哪些呢 显示所有日志 查看系统本次启动只有的…

    2022年6月15日
    2.1K00
  • VMware vSphere中三种磁盘规格(厚置备延迟置零\厚置备置零\Thin Provision)

    在VMware vSphere中,不管是以前的5.1版本,或者是现在的6.5版本,创建虚拟机时,在创建磁盘时,都会让选择磁盘的置备类型,如下图所示,分为: (1)厚置备延迟置零; (2)厚置备置零; (3)Thin Provision(精简置备)。 在创建虚拟机时,可以选择这三种类型的其中一种,如下图所示 这三种类型的磁盘,每一种类型的磁…

    2023年8月11日
    44600

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信