亿企邦
  • 首页
    •
  • 解决方案&服务
    •
  • 客户&案例
    •
  • 营销资讯
    •
  • 关于我们
    •
    15158846557 在线咨询 在线咨询
    亿企邦
    15158846557 在线咨询
    亿企邦

    快捷入口

    所在位置: 首页 > 营销资讯 > 网站运营 > 有一天我的虚拟机被同事挖矿了

    有一天我的虚拟机被同事挖矿了

    时间:2023-06-28 04:12:02 | 来源:网站运营

    时间:2023-06-28 04:12:02 来源:网站运营

    有一天我的虚拟机被同事挖矿了:

    发现挖矿

    有一天,我可爱的同事们为了让我写这个帖子更专业,在我的虚拟机里面植入了一个挖矿病毒。下面我尝试给大家处理一下这个情况,实在不行可以重装虚拟机。

    事件处理

    先检查一下cpu的占用情况

    top -c -o %CPU-c 参数显示进程的命令行参数-p 参数指定进程的pidps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5cpu占用前五的进程信息我实践了一下,一般的话,在终端输入top就行,就像这样

    然后发现这个占用cpu过高的进程是pid为4452的kdevtmpfsi,毫无疑问这个进程就是挖矿的。如果我们严谨一点,根据上面的进程名查看与内网的 tcp链接,查出来ip,去看看是不是国外的或者是恶意的。

    netstat -anpt | grep pid这里的pid就是异常进程的pid既然已经发现了这个异常的挖矿进程,那就用命令把这个进程处理掉。

    有些进程会引起子进程,可以用如下命令查看ps ajfxsystemctl status没有子进程的话,就用这个,一般这个就够了kill -9 pid 如果进程引起了子进程kill -9 -pid 这个就会删除整个进程组一般情况,这样就结束了。但是过了一会,发现cpu又占用高了,检查发现进程又启动了,变成了pid6534,

    猜测有定时任务,我们用 crontab -l查询一下,发现每隔一段时间就会自动的从195.3.146.118下载unk.sh文件 并执行。

    那么删除异常进程,删除定时任务kill -9 6354crontab -r一般的话,这个挖矿病毒就这样被我们杀完了,但是,在个别情况下,挖矿病毒会为了保障挖矿的正常进行,还会有守护进程。

    systemctl status pid这里的pid是 6651kill -9 4423kill -9 6651cd /tmprm -rf kinsingrm -rf kdevtmpfsi删光光到这的话基本上就结束了

    善后阶段

    根据恶意域名确定木马类型,我们一般通过一些现成的查询网站,比如:

    深信服威胁情报中心

    360威胁情报中心

    微步在线X情报社区-威胁情报查询_威胁分析平台_

    奇安信威胁情报中心

    关键词:同事,虚拟

    推荐文章

    新闻资讯

    整合营销 网络营销 网络推广 信息时代 建站知识 网站运营 电子商务 营销百科 公司新闻 行业动态 品牌营销

    推荐资讯

    74
    73
    25
    news

    微信公众号

    版权所有© 亿企邦 1997-2025 保留一切法律许可权利。

    为了最佳展示效果,本站不支持IE9及以下版本的浏览器,建议您使用谷歌Chrome浏览器。 点击下载Chrome浏览器
    关闭