1. 中病毒后主机症状 * 自定义的程序卡顿，例如：javaweb服务访问慢 * 执行top命令后，未知进程的cpu占用率一直处于50%以上（如果cpu为20核，则cpu占用率大于1000%） 2. 排查挖矿程序详情 执行top命令，找到cpu占用率最高的进程 [wzw@ABC ...

云服务器在部署Hadoop后便被黑了，查看进程发现了kthreaddi占满了CPU。 kill掉这个进程后还会自己重启，猜测是设置了定时启动任务。 查看定时器，查看定时器中的文件，发现文件不存在。再次查看定时任务，发现定时任务中的文件变了。关闭定时任务后还会出现新的定时任务，每次都是 ...

背景 新接手了个环境，同事交接时说这些机器中过挖矿病毒还没重装，我TM。。。 线上环境不好动，只能手动查杀了。 操作系统如下： 过程 ssh上去，ps -ef看到如下： 手动kill掉进程，很快会生成新的，猜测有守护进程。用STOP信号让它停止。 查看定时任务清理 ...

清理bash_profile 打开终端，清理到用户下bash_profile文件，默认在/home/${name}/的隐藏文件内容中记录 删除crontab下任务 查询启动脚本的任务 删除 依次查看rc.d init.d 系统服务 删除以下文件 删除命令 ...

一般情况下，挖矿病毒都是自动扫描+自动挂马生成的，并不会是有专人进行攻击，所以也比较好清除，注意清除之后需要 check 有无后门。 最重要几点（也可能是被hack的原因）：禁止 ROOT 用户登陆，ROOT 不能使用弱密码，FRP 需要配置，不能使用默认选项。 挖矿进程占用的 CPU 资源 ...

Linux被kdevtmpfsi挖矿病毒入侵 一. 错误信息 二.解决问题 1.首先停掉kdevtmpfsi的程序 2.删除Linux下的异常定时任务 3.结束kdevtmpfsi进程及端口占用 4.删除掉kdevtmpfsi ...

0x00 前言 ​ 随着虚拟货币的疯狂炒作，利用挖矿脚本来实现流量变现，使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为，并结合了高级攻击技术，以增加对目标服务器感染的成功率，通过利用永恒之蓝（EternalBlue）、web攻击多种漏洞（如Tomcat弱 ...

特征如下： CPU占用一直比较高，初步分析是挖矿程序： 系统的crontab –l显示调度列表如下： 20 * * * * /root/.aliyun.sh >/dev/null 2>&1 查看脚本内容： #!/bin ...