1、故障现象:使用过程中,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。在检测异常进程中,未发现CPU使用率异常的进程(使用top、htop以及ps-aux进行检查),于是报障。
2、中挖矿病毒有以下几种显著的表现:电脑异常运行缓慢。电脑异常死机/卡机。什么都没打开但是cpu占用率非常高。网络缓慢,出现大量网络请求。
3、因为使用某国产播放器(看看影音)后,感染了“挖矿病毒—Win3Troj.EthashMiner.a,病毒的表现如下:发现电脑中C盘可使用空间骤降,且在C盘Ethash文件夹内,发现存在大量的1G左右的垃圾文件。
4、但是如果手机被黑客入侵后,在重启后,手机会再度进入高负荷状态,往往系统运行内存会被迅速使用殆尽,所以如果手机出现无端卡顿、发热、死机,那就有可能是被挖。很多手机挖矿APP其实就是病毒应用。
5、cpu占用高,就是文中一开始所说的,因为挖矿病毒的目的就是为了让机器不停的计算来获利,所以cpu利用率都会很高。进程名非常奇怪,或者隐藏进程名。
1、最初安装MongoDB时,并未设置密码认证,存在漏洞,导致黑客通过漏洞攻击服务器,并在程序里植入木马/病毒。
2、挖矿病毒处理步骤如下:查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。
3、线上一台服务器,CPU高达90%以上,经过top分析出进程kdevtmpfsikill-9杀死进程无果,很快就会自动恢复排查步骤:结果:病毒被植入到了线上运行的某一docker容器内。
ls/proc/10341查看进程文件该脚本执行了/xm脚本,并且总是会重启服务。如果此程序不进行清除,即使杀死了对应的进程,过一会还是会执行重新创建,又导致服务器异常。
挖矿病毒处理步骤如下:查看服务器进程运行状态查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。查看端口及外联情况查看端口开放状态及外联情况,发现主机存在陌生外联行为。
找到他shell脚本对应目录把目录或者文件删除。检查定时任务是否存在挖矿木马文件在定时任务中,避免定时运行挖矿木马文件。添加hosts挖矿病毒访问对应网站,避免二次访问并下载。
通过进程监控,可以定期查看系统中的所有进程,如果在某个时间段内,存在一些不正常的进程在运行,例如那些没有得到授权的进程,就是挖矿病毒在运行。
hosteye是安全防护服务,识别web目录下的恶意文件,防止暴力破解/对登录事件进行审计/识别并查杀主机中启动的恶意进程/识别挖矿程序、反弹shell等。
早上起来继续看,这次留意注意了下那两个占用高cpu的进程,kdevtmpfsi和networkservice。本着看看是啥进程的心态,百度了下。真相一目了然,两个挖矿病毒。
本文暂时没有评论,来添加一个吧(●'◡'●)