15158846557 在线咨询 在线咨询
15158846557 在线咨询
所在位置: 首页 > 营销资讯 > 网站运营 > 有一天我的虚拟机被同事挖矿了

有一天我的虚拟机被同事挖矿了

时间:2023-06-28 04:12:02 | 来源:网站运营

时间:2023-06-28 04:12:02 来源:网站运营

有一天我的虚拟机被同事挖矿了:

发现挖矿

有一天,我可爱的同事们为了让我写这个帖子更专业,在我的虚拟机里面植入了一个挖矿病毒。下面我尝试给大家处理一下这个情况,实在不行可以重装虚拟机。

事件处理

先检查一下cpu的占用情况

top -c -o %CPU-c 参数显示进程的命令行参数-p 参数指定进程的pidps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5cpu占用前五的进程信息我实践了一下,一般的话,在终端输入top就行,就像这样

然后发现这个占用cpu过高的进程是pid为4452的kdevtmpfsi,毫无疑问这个进程就是挖矿的。如果我们严谨一点,根据上面的进程名查看与内网的 tcp链接,查出来ip,去看看是不是国外的或者是恶意的。

netstat -anpt | grep pid这里的pid就是异常进程的pid既然已经发现了这个异常的挖矿进程,那就用命令把这个进程处理掉。

有些进程会引起子进程,可以用如下命令查看ps ajfxsystemctl status没有子进程的话,就用这个,一般这个就够了kill -9 pid 如果进程引起了子进程kill -9 -pid 这个就会删除整个进程组一般情况,这样就结束了。但是过了一会,发现cpu又占用高了,检查发现进程又启动了,变成了pid6534,

猜测有定时任务,我们用 crontab -l查询一下,发现每隔一段时间就会自动的从195.3.146.118下载unk.sh文件 并执行。

那么删除异常进程,删除定时任务kill -9 6354crontab -r一般的话,这个挖矿病毒就这样被我们杀完了,但是,在个别情况下,挖矿病毒会为了保障挖矿的正常进行,还会有守护进程。

systemctl status pid这里的pid是 6651kill -9 4423kill -9 6651cd /tmprm -rf kinsingrm -rf kdevtmpfsi删光光到这的话基本上就结束了

善后阶段

根据恶意域名确定木马类型,我们一般通过一些现成的查询网站,比如:

深信服威胁情报中心

360威胁情报中心

微步在线X情报社区-威胁情报查询_威胁分析平台_

奇安信威胁情报中心

关键词:同事,虚拟

74
73
25
news

版权所有© 亿企邦 1997-2025 保留一切法律许可权利。

为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
关闭