一 异常进程排查1、# 进程动态快速定位,使用 top -c可快速定位异常经常的物理位置,查询异常进程。2、# top -c3、# ps -ef 排查4、# ps -ef |grep wnTKYg5、# ps -ef |grep ddg.20216、# 疑似进程定位7、[root@localhost ~]# find / -name wnTKYg* &
原创
2018-10-11 17:08:58
1978阅读
1、现象 安全设备报wmixml或者主机访问了wmixml矿池地址。 2、处置 (1)、使用ProcessExplorer等工具找到的svchost.exe进程删除(2)、使用autoruns.exe检查开机启动,删掉服务(3)、使用everything.exe查找appmg.d
原创
2022-11-29 14:32:26
231阅读
症状表现 服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿。 排查方法 首先:查看 kdevtmpfsi
原创
2022-03-16 15:00:05
962阅读
找到矿毒进程ps -aux | grep kinsingps -aux | grep kdevtmpfsi杀死进程:kill -9 PID (杀死两个)删除Linux下的异常定时任务crontab -l //查看定时任务crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除删除文件rm -rf kdevtmpfsi rm -rf /var/tmp/kins
原创
2022-04-14 11:58:22
3320阅读
症状表现服务器CPU资源使用一直处于100%的状态,通过 top 命令查看,发现可疑进程 kdevtmpfsi。通过 google搜索,发现这是挖矿病毒。排查方法首先:查看 kdevtmpfsi 进程,使用 ps -ef | grep kdevtmpfsi ps -ef | grep kinsing命令查看,见下图。PS:通过 ps -ef 命令查出 kdevtmpfsi 进程号,直接 kill
原创
2023-04-03 20:37:05
551阅读
废话不多说,直接开始清理 找到矿毒进程 ps -aux | grep kinsing ps -aux | grep kdevtmpfsi 杀死进程: kill -9 PID (杀死两个) 删除Linux下的异常定时任务 crontab -l //查看定时任务 crontab -r //表示删除用户的定时任务,当执行此命令后,所有用户下面的定时任务会被删除 删除文件 rm -rf kdevtmpfs
转载
2023-04-03 12:51:03
197阅读
网上都在讲watchBog,有什么用,能做什么事,没有特别好的方法去应对变种的挖矿病毒。我从定时器的地址里面,找出了 python base64 转码的脚本 。解码
原创
2021-07-09 10:38:25
950阅读
1,关掉远程服务器访问权限iptables -A INPUT -s pastebin.com -j DROPiptables -A OUTPUT -d pastebin.com -j DROPcrontab -l 查看所有定时任务在创建的定时任务中可以看到服务器网址2 find / -name watchbog 搜索所在文件夹3 ...
原创
2022-01-26 11:41:34
198阅读
1,关掉病毒远程服务器访问权限iptables -A INPUT -s pastebin.com -j DROPiptables -A OUTPUT -d pastebin.com -j DROPcrontab -l 查看所有定时任务在病毒创建的定时任务中可以看到服务器网址2 find / -name watchbog 搜索病毒所在文件夹3 ...
原创
2021-08-04 14:22:37
427阅读
第三代亡命徒(Outlaw)木马样本分析 挖矿木马的危害 通常情况下,受害者会认为挖矿木马只是会让操作系统反应迟钝,并不会对自身造成太大的影响,但是挖矿木马除了会让系统卡顿之外,还会降低计算机设备性能和使用寿命,危害企业运营,浪费能源消耗,不仅如此,最重要的是现在的挖矿木马普遍会留置后门,变成攻击者
原创
2023-04-30 05:59:50
1039阅读
清理bash_profile 打开终端,清理到用户下bash_profile文件,默认在/home/${name}/的隐藏文件内容中记录 cp -f -r -- /bin/bprofr /bin/dbused 2>/dev/null && /bin/dbused -c >/dev/null 2>&1 ...
转载
2021-08-26 20:06:00
2743阅读
2评论
故事背景最新收到报警消息,一直提示服务器CPU100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。安装busybox系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。BusyBox是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。busyboxtop!image202
原创
精选
2021-11-16 23:09:38
3371阅读
1评论
故事背景最新收到报警消息,一直提示服务器CPU100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。安装busybox系统有故障,登录后如果发现用正常的命令找不到问题,那么极有可能该命令被篡改。BusyBox是一个集成了三百多个最常用Linux命令和工具的软件,里面就有我需要的top命令。busyboxtop!image202
原创
2022-07-04 17:33:29
1254阅读
一、问题现象 朋友的阿里云LINUX服务器, 发现有2t3ik与ddgs两个异常进程,把CPU几乎耗尽了。其描述kill掉以后,过一会儿又会重新出现。 二、分析处理即然kill 后过一会儿又会出现,那就有两种可能:1、crontab定时调用;2、有守护进程,个别病毒还会修改ps和top,通过这些命令无法查看到隐藏的守护进程。先看了下crontab,发现如下两条内容:
转载
2023-07-03 16:26:50
110阅读
1、现象 表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务 2、处置 删除恶意动态链接库/usr/local/lib/libioset.so,排查清理/etc/ld.so.preload中是否加载
原创
2022-11-29 14:30:20
1523阅读
问题说明:一台浪潮云上的服务器中部署Oracle 12c,发现其执行SQL语句时异常缓慢问题排查:1、查看服务器内存,发现只有235M,设置了Oracle的sga、pga、memory_target和memory_max_target,并清理了缓冲,内存恢复正常,但问题依旧;2、使用top命令查看进程,发现有2个minerd进程占用了近300%的CPU,怀疑是中了挖矿×××,变成矿机挖取比特币(有些
原创
2018-09-01 22:32:52
4420阅读
点赞
