特征如下： CPU占用一直比较高，初步分析是挖矿程序： 系统的crontab –l显示调度列表如下： 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看脚本内容： #!/bin ...

1. 中病毒后主机症状 * 自定义的程序卡顿，例如：javaweb服务访问慢 * 执行top命令后，未知进程的cpu占用率一直处于50%以上（如果cpu为20核，则cpu占用率大于1000%） 2. 排查挖矿程序详情 执行top命令，找到cpu占用率最高的进程 [wzw@ABC ...

背景 新接手了个环境，同事交接时说这些机器中过挖矿病毒还没重装，我TM。。。 线上环境不好动，只能手动查杀了。 操作系统如下： 过程 ssh上去，ps -ef看到如下： 手动kill掉进程，很快会生成新的，猜测有守护进程。用STOP信号让它停止。 查看定时任务清理 ...

故事背景 最新收到报警消息,一直提示服务器CPU 100%,然后登入服务器用top一看,发现并没有进程特别占用CPU,马上第一直觉就是top命令已经被篡改。需要借助其他的工具。 安装bu ...

因为我在工作的时候被各种挖矿病毒搞过几次，所以在这里整理下我遇到的病毒以及大神们的解决方案。 服务器中挖矿病毒后，最基本的一个特征就是CPU使用率瞬间飙升，此时可以通过top命令进行查看，确认是否有异常进程，当然有一些挖矿病毒稍微高级一些，比如pamdicks，它的进程是隐藏 ...

一般情况下，挖矿病毒都是自动扫描+自动挂马生成的，并不会是有专人进行攻击，所以也比较好清除，注意清除之后需要 check 有无后门。 最重要几点（也可能是被hack的原因）：禁止 ROOT 用户登陆，ROOT 不能使用弱密码，FRP 需要配置，不能使用默认选项。 挖矿进程占用的 CPU 资源 ...

参考：https://blog.csdn.net/cxu123321/article/details/106915757/ 1、删除 /.Xll/xr 2、计划任务处理，/etc/crontab文 ...

一、关于powershell挖矿病毒 在2019年4月22号，对公司几台服务器进行进行病毒排查，发现有两台windows服务器CPU使用过高，查看进行时发现poweshell进程占用CPU， 通过百度确定该进程被植入了挖矿病毒，该病毒采用的是WMI+powershell的内存驻留方式 ...