Linux下查找并删除挖矿程序实例

症状表现

从外网连接服务器时,间接性断开特别频繁。在断开的时候,从内网也连接不上

排查方法

  1. 从链路等硬件方面去排查

通过zabbix监控的服务器的端口,发现这个服务器一直在间断性占用1000M带宽,实际客户购买的带宽15M,这就是客户间断性频繁断网的原因。

Linux下查找并删除挖矿程序实例

在排除了线路等相关问题后,将问题锁定在客户系统内。

  1. 在软件中排查

在Linux系统中,我们可以使用top命令去查看系统任务和资源占用

Linux下查找并删除挖矿程序实例

发现可疑进程 kdevtmpfsi,一直占用CPU资源,通过搜索,发现这是挖矿病毒。

删除进程

  1. 通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill -9 进程号并删除 /tmp/kdevtmpfsi 执行文件。但没有过1分钟进程又运行了,这时就能想到,kdevtmpfsi 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。
  2. 根据上面结果知道 kdevtmpfsi 的PID号,使用 systemctl status PID号,发现 kdevtmpfsi 有守护进程,记录守护进程的PID号
  3. kill 掉 kdevtmpfsi 守护进程,再 killall -9 kdevtmpfsi 挖矿病毒,最后删除 kdevtmpfsi 执行程序 rm -f /tmp/kdevtmpfsi。

事后检查

  1. 通过 find / -name “kdevtmpfsi” 命令搜索是否还有 kdevtmpfsi 文件
  2. 查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure,Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log
  3. 检查 crontab 计划任务是否有可疑任务

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/4645

(0)
郭靖的头像郭靖
上一篇 2022年6月14日 下午4:06
下一篇 2022年6月14日 下午4:27

相关推荐

  • 实验案例:日志分析及系统故障修复

    公司使用的Linux服务器越来越多,经常会有个别服务器出现启动引导、文件系统等故障。为了避免出现上述故障时,无法快速定位故障原因与及时处理故障,公司新招的运维人员小王需要提前进行排障演练并熟悉系统内各种日志文件,以便在需要时能够及时修复系统故障。 日志文件分析 在终端tty3中尝试以不存在的用户账号Administrator进行登录 新建用户账号admin并…

    2024年6月25日
    2.1K00
  • 在linux中访问网站提示“Nginx 502 bad gateway”错误如何处理?

    问题原因 “Nginx 502 Bad Gateway”错误表示访问请求的php-cgi进程已经开始执行,但是由于读取资源失败等原因没有执行完毕,导致php-cgi进程终止。 常见的问题原因如下: 解决方案 您可以参考如下操作进行逐一排查。 说明 本文中/usr/local/php/etc/php-fpm.conf、/usr/local/php/etc/ph…

    2023年11月16日
    1.4K00
  • k8s-重启Pod方法

    kubectl 没有 restart pod 这个命令,主要是由于在 k8s 中pod 的管理属于rs 等控制器,并不需要手动维护,但有时更新了yaml文件后,期望破都能够”重启”重新加载yaml文件,比如修改了configmap 的配置文件后,希望重启pod 加载配置,此时就需要 “重启” Pod。而”重启”…

    2023年10月9日
    1.6K00
  • centos 升级内核

    一、关于内核版本的定义: 版本性质:主分支ml(mainline),稳定版(stable),长期维护版lt(longterm) 版本命名格式为 “A.B.C”: 数字 A 是内核版本号:版本号只有在代码和内核的概念有重大改变的时候才会改变,历史上有两次变化: 第一次是1994年的 1.0 版,第二次是1996年的 2.0 版,第三次是2011年的 3.0 版…

    2023年3月16日
    1.4K00
  • ipmitool 工具使用教程

    IPMI全称为Intelligent Platform Management Interface(智能平台管理接口),原本是一种Intel架构的企业系统的周边设备所采用的一种工业标准。IPMI亦是一个开放的免费标准,用户无需支付额外的费用即可使用此标准。IPMI 能够横跨不同的操作系统、固件和硬件平台,可以智能的监控、控制和自动回报大量服务器的运作状况,以降…

    2024年3月25日
    2.0K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信