菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马)

这篇具有很好参考价值的文章主要介绍了菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

2023.13.39分收到腾讯发来的提醒
xmrigminer,linux,服务器,运维,网络安全
xmrigminer,linux,服务器,运维,网络安全
查了一下后台,是这个样子
xmrigminer,linux,服务器,运维,网络安全
显示的是cpu与内存占用极高,不停有写入操作

大写的懵逼,第一反应是先关机
但是没屁用,cpu与内存占用居高不下
我处理的主要过程如下

kill进程没用,还会重新启动。查了半天资料,说是让我看看

是不是有自动启动的定时任务

启用命令

crontab -l

卧槽,真的有
xmrigminer,linux,服务器,运维,网络安全
大概是我用的redis安装包有问题

赶快启用删除全部定时任务命令

crontab -r

再次查询,就查不到这个定时任务了

但是占用率还是居高不下,kill不掉

用top命令查看进程状况

注意:这里我用过ps -aux | sort -k4nr | head -10
和ps -aux | sort -k3nr | head -n
查询内存占用最高的几个进程,返回的内容一片岁月静好!!!
说明程序被隐藏了,用这个命令根本查不出

top

xmrigminer,linux,服务器,运维,网络安全
就是这个流氓程序,一直占着,
用kill命令,后面的2988是它的pid

kill -9 2988

没有用,kill会让他消失几秒钟,然后很快就会再次出现

说明还是有问题
我担心是因为有人通过端口进入,我就

在防火墙暂时关闭了所有端口的访问

xmrigminer,linux,服务器,运维,网络安全

继续查资料,发现有人说需要

查看相应服务是否有ia等保护的权限

我就查了一下


[root@xgms_VM-8-13-centos share]# lsattr xmrigMiner   
-------------e-- xmrigMiner

很服气,真的有,然后说让我清除这个权限,执行

[root@xgms_VM-8-13-centos share]# chattr -ia xmrigMiner
-bash: chattr: command not found
[root@xgms_VM-8-13-centos share]# chattr -ia xmrigMiner
-bash: chattr: command not found

结果也看到了,显示没有这个命令,然后我就执行了rm -rf删除命令,没想到居然成功了
我再去kill相应的程序,程序也不会重新启动

注意:这里我发现有两个程序xmrigMiner和xmrigDaemon ,我就把他俩一起宰了

[root@xgms_VM-8-13-centos share]# rm -rf xmrigMiner
[root@xgms_VM-8-13-centos share]# kill -9 5213
[root@xgms_VM-8-13-centos share]# rm -rf xmrigDaemon
[root@xgms_VM-8-13-centos share]# kill -9 6296
[root@xgms_VM-8-13-centos share]# kill -9 13
[root@xgms_VM-8-13-centos share]# lsattr xmrigMiner
lsattr: No such file or directory while trying to stat xmrigMiner
[root@xgms_VM-8-13-centos share]# 

清除干净相应的文件

后面我就进入到具体的之前腾讯有提示过的文件夹里删除了相应的文件
分别是这两个栽种

/usr/share/xmrigMiner
/usr/share/scripts/enable_1gb_pages.sh

直接用rm制裁

再去查询这个保护权限,也查不到了

这个问题就基本解决
xmrigminer,linux,服务器,运维,网络安全

但是内存使用量还是很高,不知道为什么,我还在查怎么处理的时候,发现它自己降下来了
xmrigminer,linux,服务器,运维,网络安全
截止我写完这篇文章,它暂时也再没出现问题

警示

起因应该是redis的安装包里有木马

然后我将redis设置为所有ip均可访问以后,大概一个多小时,就出现了这种情况

我只能说文章来源地址https://www.toymoban.com/news/detail-643628.html

!!!慎重开启全ip访问

!!!慎重使用来源不明的安装包

到了这里,关于菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 纯小白新人菜鸟第一次unity VR项目与matlab联动调试过程记录超详细版本2023.3.12

    本人是个超级菜鸟,因为项目需要用到unity、matlab并且实现两者联动,才刚开始接触Unity、Matlab,以前只有一点C/C++和Java基础(好几年前学的,只会加减乘除、连dll是什么都不懂),花了好几天时间根据网上、文献里的各种教程,踩了很多无法言说的小白坑,特此把过程中遇到

    2023年04月22日
    浏览(44)
  • 解决linux第一次安装anaconda无法进入base环境的问题

    使用conda --version发现conda是安装好的,刚开始是环境配置问题,打开.bashrc文件修改环境配置,在路径那块将自己的annconda对应的文件路径填进去 gedit ~/.bashrc进入 修改环境变量后还是无法进入base环境,应该先使用下列语句激活环境,以后可以正常使用conda activate和conda deactiva

    2024年01月22日
    浏览(49)
  • ROS:古月居第一次作业(话题与服务编程、动作编程、TF编程)

    话题与服务编程:通过代码新生一只海龟,放置在(5,5)点,命名为“turtle2”;通过代码订阅turtle2的实时位置并打印在终端;控制turtle2实现旋转运动; demo_turtle.launch demo_turtle.cpp CMakeList.txt 运行: 结果: 动作编程:客户端发送一个运动目标,模拟机器人运动到目标位置的过

    2024年02月07日
    浏览(45)
  • 【入门/小白向】第一次在Linux/Ubuntu终端上使用Git拉取代码,该怎么做?保姆教程,步骤分解。

    【Step.1】 安装 git 安装完成后执行下句,可以看到安装版本: 【Step.2】 配置邮箱 (git网站账户注册的邮箱,如bob2023@yy.com) 和用户名 (任取,如bob): 随后可执行下句,查看是否配置成功: 实例执行如下图:  【 Step.3 】生成 SSH 密钥,用于远程访问 git (下面使用的公钥算法是

    2024年02月05日
    浏览(52)
  • 新学期第一次课

    在信息化飞速发展的今天,大数据技术的应用日益广泛,其重要性也日益凸显。对于大数据学院的同学来说,掌握行业前沿技术是至关重要的。本篇文章将详细指导同学们如何加入QQ群、云班课,并学会使用思维导图和CSDN博客。 我们有两个QQ群,分别是2021计应1班行业前沿技

    2024年02月10日
    浏览(39)
  • 第一次面试复盘

    这个秋招到目前为止第一次拿到了面试机会,虽然是小公司,但是人家是有官网的!!!很爱!先赶紧复盘一下,因为还有很多笔试没有复盘。 你们的数学建模解决了什么问题?你觉得你们为什么能拿到这个成绩 说下对java这门语言的了解 它是一种面向对象的编程语言,所以

    2024年01月22日
    浏览(44)
  • python 第一次作业

    因为笔者有一些 c/c++ 语言的基础,所以应该学 python 会稍微简单一些 输入的时候所有的输入都是字符串类型,我们需要进行类型转换 参见资源里面的第三题和第四题,为了方便起见,直接把代码贴在下面

    2024年03月25日
    浏览(50)
  • 第一次作业

    作业内容:1,atd和crond的区别                   2,指定在2023/08/26 09:00将时间写入testmail.txt文件中                   3,指定在每天凌晨4:00将该时间点之前的系统日志信息备份到个目录下(/var/log/messages ),备份后日志文件名显示格式logfileYY-MM-DD HH-MM 1、运行方式不同

    2023年04月20日
    浏览(43)
  • 树莓派第一次开机

    树莓派由英国的树莓派基金会发行,旨在通过发行这个廉价开源的可随意破解的微型计算机,推动中小学编程教育,发行之后很快在全世界的开源创客圈中流行。截止到2018年10月,最新版本的树莓派主板是3B+,国内某宝上卖230元左右,还有更微型的树莓派主板Zero,国内某宝卖

    2024年02月13日
    浏览(48)
  • jQuery第一次接触

    jQuery是一个轻量级js库 1.下载jquery库,网址Download jQuery | jQuery npm i jquery 2.还可以从cdn中载入jquery script src=\\\"https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js\\\" 3.j代表js,query代表查询,jQuery可以进行查询的js语言,主要用来查询html元素 4.基础语法$(selector).action(),其中selector代表要进行操

    2024年02月12日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包