Linux下查找并删除挖矿程序实例

症状表现

从外网连接服务器时,间接性断开特别频繁。在断开的时候,从内网也连接不上

排查方法

  1. 从链路等硬件方面去排查

通过zabbix监控的服务器的端口,发现这个服务器一直在间断性占用1000M带宽,实际客户购买的带宽15M,这就是客户间断性频繁断网的原因。

Linux下查找并删除挖矿程序实例

在排除了线路等相关问题后,将问题锁定在客户系统内。

  1. 在软件中排查

在Linux系统中,我们可以使用top命令去查看系统任务和资源占用

Linux下查找并删除挖矿程序实例

发现可疑进程 kdevtmpfsi,一直占用CPU资源,通过搜索,发现这是挖矿病毒。

删除进程

  1. 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。
  2. 根据上面结果知道 kdevtmpfsi 的PID号,使用 systemctl status PID号,发现 kdevtmpfsi 有守护进程,记录守护进程的PID号
  3. kill 掉 kdevtmpfsi 守护进程,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。

事后检查

  1. 通过 find / -name “kdevtmpfsi” 命令搜索是否还有 kdevtmpfsi 文件
  2. 查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure,Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log
  3. 检查 crontab 计划任务是否有可疑任务

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/4645

(0)
郭靖的头像郭靖
上一篇 2022年6月14日 下午4:06
下一篇 2022年6月14日 下午4:27

相关推荐

  • Linux firewall防火墙 换成 iptables 防火墙

    一、firewalld 增加开放端口 重启防火墙 二、iptables 增加开放端口 如果要修改防火墙配置,如增加防火墙端口3306 增加规则 保存退出后 最后重启系统使设置生效即可。 三、将firewalld防火墙换成iptables 1、直接关闭防火墙 2、设置 iptables service 如果要修改防火墙配置,如增加防火墙端口3306 增加规则 …

    2023年8月9日
    1.6K00
  • 利用Nextcloud搭建企业私有云盘系统

    1. 场景介绍 Nextcloud是一款免费开源的私有云存储系统,采用PHP+MySQL开发,提供了多个同步客户端支持多种设备访问,使用Nextcloud可以快速便捷地搭建一套属于自己或企业的云同步云盘,从而实现跨平台跨设备文件同步编辑、共享、版本控制、团队协作等功能。   不同于公有云盘,私有云盘需要部署在自己的服务器上(物理机或者云主机),并通过公网进行…

    2023年12月5日
    1.9K00
  • CentOS 修改 SSH无操作自动断开时长及连接超时

    CentOS 修改 SSH无操作自动断开时长 当 SSH 连接到 CentOS 服务器时, 如果一段时间不操作, SSH 会自动断开。 这时, 可修改配置增加连接时长。 一、修改配置 在配置中找到 修改为 ClientAliveInterval 指定了服务器端向客户端发送消息的间隔,默认 0 不发送消息。ClientAliveInterval 30…

    2023年2月20日
    2.8K00
  • CentOS图形化界面和命令行界面的转化–超详细(Linux操作系统)

    对于我这样的小白来说,Linux系统的图形化界面更加简单,但是Linux命令行才是精髓,如何进行转化呢? 1、快捷键方式切换(较为简单) 图形化界面转化成命令行界面  ctrl+alt+F3 命令行界面转化为图形化界面 ctrl+alt+F1 2、命令行形式切换切换成命令行模式: systemctl set-default mu…

    2023年12月13日
    2.0K00
  • Ceph集群日常使用命令

    一、Ceph 集群服务维护 之前文章说了一下ceph的安装,安装其实比较简单,但是后续维护起来我们需要知道常用的维护命令 如果我们机器上osd、mon、rgw等服务都安装在一个节点,可以通过下面的命令直接管理所有服务 ceph target allowing to start/stop all ceph*@.service instances at once…

    2023年4月19日
    1.5K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信