Linux挖礦病毒dbused
A. 如何用Linux伺服器挖礦教程
今天早上起來一看,伺服器腳本一個都沒有啟動!甚是奇怪,遠程登錄伺服器,也是異常的卡,直到最後卡死,只好重新啟動伺服器!
啟動之後沒一會又會變卡,越來越卡,top查看進程!不覺又奇怪的進程,因為平常也不經常看!所以自己也搞不明白怎麼回事兒!只好到群里問了問,說是被挖礦的掛了木馬文件了,是由於redis的漏洞!
後來我自己發現,原來redis遠程可以直接登錄,原以為redis和mysql不開放登錄許可權就不會支持遠程登錄呢,看來是我想多了
看了好長時間才發現一個異常的進程,自啟的進程 molibe !
找到進程位置 ps -ef|grep molibe ;
在tmp目錄下,打開一看的確是有
chmod -x molibe 取消執行許可權在來到/var/spool/cron下,cat root 查看定時器的執行發現之前腳本都被改了,顧不得刪除cron,service crond restart 重新啟動,再有就時kill 掉molibe進程
這樣大概整個就結束了!但是根本是因為redis漏洞,所以還是補上吧
首先修改redis'埠,找到redis.conf文件 port **** 修改埠號再有就是必須修改密碼 # requirepass ******** 去除#號重新啟動 /redis/src/redis-server /redis/redis-conf
啟動成功之後
redis/redis-cli -p ****(埠) -a *****(密碼)
B. 中挖礦病毒的表現
故障現象:使用過程中,發現經常有服務無故關閉,登錄伺服器經檢查,發現CPU使用率達到100%。在檢測異常進程中,未發現CPU使用率異常的進程(使用 top、htop 以及 ps -aux 進行檢查),於是報障。
檢測過程:
1.找到他shell腳本對應目錄把目錄或者文件刪除。
2.檢查定時任務是否存在挖礦木馬文件在定時任務中,避免定時運行挖礦木馬文件。
3.添加hosts挖礦病毒訪問對應網站,避免二次訪問並下載。
4.排查liunx命令是否損壞,如損壞下載"procps-3.2.8"並編譯,恢復top等系列命令。
5.檢測進程是否異常。
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的網站程序是否存在漏洞,並排查下nginx或者apache日誌審查漏洞所在處。
7.排查ssh登錄日誌。
8.把ssh登錄切換成秘鑰登錄。
9.重啟伺服器,檢查是否進程是否正常。
C. linux被挖礦重裝系統能清除嗎
可以的
xmrig是一種挖礦病毒,通常會搶占伺服器的資源,導致伺服器超負荷運轉,出現服務宕機的情況。
D. 電腦中挖礦病毒了怎麼辦
電腦中病毒,那麼最好的解決辦法就是格式化系統盤或是全盤,或是重新分區後重裝系統,通過系統光碟或是製作的u盤啟動盤來安裝,通過快捷鍵或是進入bios中設置開機啟動項從cd或是usb啟動然後安裝系統,這樣電腦就可以恢復正常使用運行的
E. 挖礦病毒怎麼處理
挖礦病毒處理步驟如下:
1、查看伺服器進程運行狀態查看伺服器系統整體運行情況,發現名為kdevtmpfsi的挖礦進程大量佔用系統CPU使用率。
2、查看埠及外聯情況查看埠開放狀態及外聯情況,發現主機存在陌生外聯行為。對該外部地址進行查詢發現屬於國外地址,進一步確定該進程為惡意挖礦進程:定位挖礦進程及其守護進程PID挖礦病毒kdevtmpfsi在運行過程中不僅會產生進程kdevtmpfsi。
6、查看redis日誌通過查看redis配置文件/etc/redis.conf發現日誌功能未開啟。
7、查找敏感文件發現authorized_keys文件。
8、查看ssh日誌文件查看ssh日誌文件,發現大量登陸痕跡以及公鑰上傳痕跡。
F. 電腦中了挖礦病毒
方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。
2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。
3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。
4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。
5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。
6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)
G. 璁板綍涓嬈NAS琚玿mrig鎸栫熆鐥呮瘨鍏ヤ鏡鐨勭粡鍘
```html銆愯︽儠錛丯AS閬閬噚mrig鎸栫熆鐥呮瘨鍏ヤ鏡璁般
涓寮鍦哄氨緇欎釜璀﹀憡錛浣跨敤鎵嬫満BT涓嬭澆綆$悊杞浠舵椂瑕佽皚鎱庯紒</
鑳屾櫙錛氫竴鍙板叏鍔熻兘涓繪満N5105閰8GB鍐呭瓨錛岃繍琛屽湪PVE鉶氭嫙鏈轟笂錛屼綔涓篘AS錛孫penWRT璐熻矗璺鐢憋紝OMV鎵胯澆鐫NAS鐨勫伐浣溿備笅杞藉伐鍏烽夌敤浜唓bittorrent錛屽畠闅愯棌鍦∣MV鐨勫簢鎶や笅銆
浜嬫儏鐨勭獊鍙橈細CPU鍗犵敤鐖嗚〃錛岀枒浜戞誕鐜</
6鏈7鏃ワ紝鎴戜緥琛屾鏌PVE鍚庡彴錛孫MV鐨凜PU浣跨敤鐜囩珶鐒舵弧杞斤紝榪樹互涓烘槸PT浠誨姟鎵鑷淬傜劧鑰岋紝鎵撳紑qbittorrent鍚庡彴錛屽嵈涓嶈佷換浣曟椿璺冧換鍔★紝鍙鏄闆舵槦鐨勪笂浼犲崰鐢ㄤ簺璁稿甫瀹姐傞偅涓鍒伙紝鎴戝療瑙夊埌浜嗕笉瀵誨父銆
娣卞叆鎺㈢┒錛鐥呮瘨鐨勪吉瑁呬笌鍙戠幇</
鐧誨綍OMV鍚庡彴錛屽彂鐜板悕涓簒mrig鐨勮繘紼嬬嫭鍗燙PU銆傜粡榪囩櫨搴︽悳緔錛屾垜鎰忚瘑鍒拌繖鍙鑳芥槸鐥呮瘨錛岃繀閫熸墽琛屼簡kill鍛戒護錛屽彲鎯滃お鍖嗗繖錛屽繕璁版埅鍥句綔涓鴻瘉鎹銆傦紙kill鉶藉揩錛屼絾瑕侀槻鎮d簬鏈鐒</錛
鎺ョ潃錛屾垜灞曞紑浜嗘繁搴︹滄秷姣掆濊屽姩錛榪借釜鐥呮瘨瓚寵抗</
棣栧厛錛岄氳繃top -c鎵懼埌浜嗙棶姣掓枃浠剁殑鈃忚韓涔嬪勶紝鏋滄柇鍒犻櫎銆傜劧鍚庯紝浠旂粏鎼滅儲鍙鑳界殑鍚庨棬錛屽彂鐜伴檶鐢熷叕閽ユ綔鍏ヤ簡~/.ssh/authorized_keys錛寏/.profile鏂囦歡涔熼伃鍙椾簡綃℃敼錛屾剰鍛崇潃姣忔$櫥褰曢兘鍙鑳芥垚涓虹棶姣掔殑甯鍑躲傛棩蹇楅噷娌℃湁澶栫綉鐧誨綍鐨勮釜榪癸紝瀹氭椂浠誨姟涔熸棤寮傛牱錛岄棶棰樻潵浜嗭紝鐥呮瘨鏄濡備綍鎮勬棤澹版伅鍦板惎鍔ㄧ殑鍛?
瀵繪壘鐥呮瘨鐪熷嚩鐨勭嚎緔</
緋葷粺鏃ュ織鎴愪簡鎴戣拷韙鐨勭嚎緔㈠疂搴擄紝涓鏉″叧閿璁板綍鎻紺轟簡鐪熺浉錛歲bittorrent浠庝竴涓鍦板潃涓嬭澆騫舵墽琛屼簡涓涓鑴氭湰錛岃繖涓鑴氭湰涓嬭澆浜嗘寲鐭胯蔣浠跺苟鍚鍔ㄤ簡榪涚▼銆傝繖璁╂垜鎬鐤戞槸qbittorrent鐨勬紡媧烇紝浣嗗紑婧愯蔣浠剁殑鍙淇″害璁╂垜璐ㄧ枒鍙︽湁韞婅販銆
娣卞叆鎸栨帢錛屾垜鍦╭b鐨勫悗鍙版壘鍒頒簡絳旀堬細縐嶅瓙涓嬭澆鑳屽悗鐨勭樺瘑</
鍘熸潵錛屾瘡嬈$嶅瓙涓嬭澆瀹屾垚鏃訛紝qbittorrent浼氳嚜鍔ㄦ墽琛屼竴孌典唬鐮侊紝涓嬭澆騫惰繍琛屾寲鐭胯剼鏈銆傝繖灝辨剰鍛崇潃錛屾瘡涓鍦轟笅杞介兘鍙鑳借Е鍙戜竴鍦烘棤鎰忚瘑鐨勬寲鎺樻椿鍔錛
鏈鍚庣殑鐤戦棶錛鐥呮瘨濡備綍娼滃叆鐨</
鎴戝洖鎯寵搗鏉ワ紝6鏈3鏃ユ垜鏇懼皾璇曚嬌鐢ㄦ墜鏈虹$悊qb錛岄偅涓ゅぉ鎴戣瘯鐢ㄤ簡涓ゆ捐繙紼嬬$悊宸ュ叿錛屽畠浠鍙鑳芥槸鐥呮瘨鐨勯氶亾銆備絾鐜板湪錛屾垜涓嶆効鍐嶈拷鏌ュ叿浣撴槸鍝嬈懼簲鐢錛屾瘯絝燂紝鐧藉珫鐢靛獎鍚庯紝璁╂垜浠樿垂璐涔拌蔣浠跺彲涓嶆槸鎴戠殑椋庢牸銆
鎬葷粨錛氫俊浠諱笌璀︽儠鐨勫鉤琛</
鎶樿吘褰掓姌鑵撅紝閫夋嫨寮婧愪笉浠h〃鍙浠ュ畬鍏ㄤ俊浠匯傚湪鎼寤哄跺涵褰遍煶涓蹇冩椂錛屾垜浠闇瑕佹洿鍔犺皚鎱庯紝閬垮厤璁╂潵鍘嗕笉鏄庣殑杞浠剁$悊鏍稿績璁懼囥傛潈闄愭帶鍒跺拰浣跨敤root鐢ㄦ埛璋ㄦ厧琛屼簨鏄蹇呴』鐨勩
鏈熷緟鏇村氬畨鍏ㄥ彲闈犵殑寮婧愰」鐩錛岃╂垜浠鑳芥洿瀹夊績鍦頒韓鍙楃戞妧甯︽潵鐨勪究鍒┿傝嚦浜庨偅孌祍h鏂囦歡鐨勮︽儏錛屾儕蹇冨姩欖勶紝璇︽儏璇瘋嚜琛屾煡鐪嬮檮鍥撅紝閾炬帴灝卞厤浜嗐傦紙鐐瑰嚮鍥劇墖錛屾彮闇查殣鈃忕殑鎮愭</錛
```
H. 我的電腦似乎中了挖礦病毒,求解怎麼辦
建議您安裝瑞星殺毒軟體V16+版本升級到最新病毒庫後,重啟計算機按F8鍵選擇安全模式,進行病毒掃描查殺;
如果病毒很頑固或者破壞了系統文件 推薦重新安裝系統即可。