Linux下查找并删除挖矿程序实例

症状表现

从外网连接服务器时,间接性断开特别频繁。在断开的时候,从内网也连接不上

排查方法

  1. 从链路等硬件方面去排查

通过zabbix监控的服务器的端口,发现这个服务器一直在间断性占用1000M带宽,实际客户购买的带宽15M,这就是客户间断性频繁断网的原因。

Linux下查找并删除挖矿程序实例

在排除了线路等相关问题后,将问题锁定在客户系统内。

  1. 在软件中排查

在Linux系统中,我们可以使用top命令去查看系统任务和资源占用

Linux下查找并删除挖矿程序实例

发现可疑进程 kdevtmpfsi,一直占用CPU资源,通过搜索,发现这是挖矿病毒。

删除进程

  1. 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。
  2. 根据上面结果知道 kdevtmpfsi 的PID号,使用 systemctl status PID号,发现 kdevtmpfsi 有守护进程,记录守护进程的PID号
  3. kill 掉 kdevtmpfsi 守护进程,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。

事后检查

  1. 通过 find / -name “kdevtmpfsi” 命令搜索是否还有 kdevtmpfsi 文件
  2. 查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure,Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log
  3. 检查 crontab 计划任务是否有可疑任务

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/4645

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月14日 下午4:06
下一篇 2022年6月14日 下午4:27

相关推荐

  • Centos7.6安装MySQL(超详细)

    1、查看是否已经安装Mysql rpm -qa | grep mysql 我已经安装过了 如果你查看出来有东西,可以使用下面命令将其删除 rpm -e 文件名 如果提示warning: waiting for transaction lock on /var/lib/rpm/.rpm.lock,则需要执行 2、下载官方Mysql包 wget -i -c ht…

    2022年6月9日
    18900
  • OpenSuSe15.4以Server模式安装配置网络

    配置静态ip地址 编辑/etc/sysconfig/network/ifcfg-xxx (xxx是网卡设备名),此处是ifcfg-eth0 主要是为了实现静态ip的需求 配置网关 在ifcfg-xxx中配置GATEWAY是无效的,需要编辑/etc/sysconfig/network/routes 主要解决无法访问外网的问题,常见问题: ping 一个公网ip…

    2022年11月23日
    1600
  • CentOS 7 磁盘挂载教程

    mount命令是经常会使用到的命令,它用于挂载Linux系统外的文件 进行挂载操作后,用户便可以在挂载目录中使用硬盘资源了。默认情况下Linux系统并不会像Windows系统那样自动的挂载光盘和U盘设备,需要自行完成。 语法 语法格式:mount [参数] [设备] [挂载点] 常用参数 -t 指定文件系统,即挂载类型 -l 显示已加载的文件系统列表 -h …

    2022年6月9日
    14610
  • Centos7开机进入救援模式的解决方法

    问题描述 Centos启动时提示如下错误信息: 解决办法 1、查询挂载 若提示如下信息: 则使用一下命令

    2022年11月26日
    2200
  • 数据库迁移报错,提示默认日期不能为‘0000-00-00 00:00:00’

    将服务器的数据同步到本地或备份还原到本地mysql时,出现莫名其妙的报错,可能有以下这些报错:“Data truncated for column ‘字段名‘ at row 1”,集中在时间的默认值。数据源的mysql版本是5.5.30,有些时间字段默认值设置为0000-00-00 00:00:00。目标mysql版本为5.7.17,查资料发现,MySQL …

    5天前
    900

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信