事件處理先檢查一下cpu的占" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

15158846557 在線咨詢 在線咨詢
15158846557 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)站運營 > 有一天我的虛擬機被同事挖礦了

有一天我的虛擬機被同事挖礦了

時間:2023-06-28 04:12:02 | 來源:網(wǎng)站運營

時間:2023-06-28 04:12:02 來源:網(wǎng)站運營

有一天我的虛擬機被同事挖礦了:

發(fā)現(xiàn)挖礦

有一天,我可愛的同事們?yōu)榱俗屛覍戇@個帖子更專業(yè),在我的虛擬機里面植入了一個挖礦病毒。下面我嘗試給大家處理一下這個情況,實在不行可以重裝虛擬機。

事件處理

先檢查一下cpu的占用情況

top -c -o %CPU-c 參數(shù)顯示進程的命令行參數(shù)-p 參數(shù)指定進程的pidps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5cpu占用前五的進程信息我實踐了一下,一般的話,在終端輸入top就行,就像這樣

然后發(fā)現(xiàn)這個占用cpu過高的進程是pid為4452的kdevtmpfsi,毫無疑問這個進程就是挖礦的。如果我們嚴謹一點,根據(jù)上面的進程名查看與內(nèi)網(wǎng)的 tcp鏈接,查出來ip,去看看是不是國外的或者是惡意的。

netstat -anpt | grep pid這里的pid就是異常進程的pid既然已經(jīng)發(fā)現(xiàn)了這個異常的挖礦進程,那就用命令把這個進程處理掉。

有些進程會引起子進程,可以用如下命令查看ps ajfxsystemctl status沒有子進程的話,就用這個,一般這個就夠了kill -9 pid 如果進程引起了子進程kill -9 -pid 這個就會刪除整個進程組一般情況,這樣就結(jié)束了。但是過了一會,發(fā)現(xiàn)cpu又占用高了,檢查發(fā)現(xiàn)進程又啟動了,變成了pid6534,

猜測有定時任務,我們用 crontab -l查詢一下,發(fā)現(xiàn)每隔一段時間就會自動的從195.3.146.118下載unk.sh文件 并執(zhí)行。

那么刪除異常進程,刪除定時任務kill -9 6354crontab -r一般的話,這個挖礦病毒就這樣被我們殺完了,但是,在個別情況下,挖礦病毒會為了保障挖礦的正常進行,還會有守護進程。

systemctl status pid這里的pid是 6651kill -9 4423kill -9 6651cd /tmprm -rf kinsingrm -rf kdevtmpfsi刪光光到這的話基本上就結(jié)束了

善后階段

根據(jù)惡意域名確定木馬類型,我們一般通過一些現(xiàn)成的查詢網(wǎng)站,比如:

深信服威脅情報中心

360威脅情報中心

微步在線X情報社區(qū)-威脅情報查詢_威脅分析平臺_

奇安信威脅情報中心

關鍵詞:同事,虛擬

74
73
25
news

版權(quán)所有? 億企邦 1997-2025 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點擊下載Chrome瀏覽器
關閉