由于木马会自动扫描ssh端口弱口令并自动传播,建议抽查或全面排查其他linux服务器是否有中同样的挖矿木马。用top命令查看资源占用最高的进程是否为ld-linux-x86-64,如是,说明已中木马。 中木马的生产系统DBA账户核减,经查,发现有DBA角色的用户账号多达8个,一般DBA角色的用户留2个即可,一主一备。 修改弱口令,经查该...
2、crontab -l 查看是否有异常自启动任务,有的话就删掉:比如有自启动任务/mnt/.cache/stak/** 并且在该路径下有ld-linux-x86-64文件,则删除该自定义任务,并删除路径下文件, 3、top 查看ld-linux-x86-64的pid 执行 kill -9 该进程pid即可。 4、如果服务器密码为弱口令,需要设置复杂的服务器密码。
看到cpu占用较高的进程,其中第一项名为“ld-linux-x86-64”的一个进程占用cpu资源竟然高达200%,经上网验证,基本确认是挖矿木马。 记录好该进程的id,7531,开始排雷之路。 首先,执行```pwdx 7531```命令,得到该进程的执行目录,返回结果显示目录地址是"/usr/local/games/.cache", 再执行```find / -name "ld...
6.查看oracle进程的定时任务,果然有定时重启任务: 7.解决: 注释掉该crontab任务,然后kill -9 该进程,修改oracle用户的密码,问题解决
执行`pwdx 7531`命令,发现该进程执行目录为`/usr/local/games/.cache`。使用`find / -name "ld-linux*"`命令确认,该木马位于`/usr/local/games/.cache`目录下。注意,`/usr/lib64/ld-linux-x86-64.so.2`是系统文件,避免误删导致系统异常。进入木马所在目录,发现其包含`cron.d`、`run`、...
清除异常进程 查看异常进程 删除异常进程 删除相关执行文件 修改密码 2、备份相关重要信息 导出登录记录 导出历史执行命令记录
输入top命令,其中PID为145598的进程占用大量的CPU资源,而内存占用率并不是很高,非常符合挖矿木马的特征,其中ld-linux-x86-64非常可疑。 3、可疑文件定位 搜索ld-linux字符串,其中/dev/shm/.x/文件夹下的两文件可能有异常。上网搜ld-linux-x86-64关键字,发现有类似的挖矿木马的报道。
是在tmp的一个隐藏目录下的文件里面,有个ld-linux-x86-64.so.2,并且这个文件和/usr/lib64/ld-linux-x86-64.so.2名字一模一样,为什么这么说,你应该知道linux恶意进程基本都是伪装成其他进程的,就是名字和一些文件的名字一样。如果不这样,你一看进程:“这是个啥进程,没见过,干掉!”,这样可能太对不起IT××...
2、查看资源占用情况 输入top命令,其中PID为145598的进程占用大量的CPU资源,而内存占用率并不是很高,非常符合挖矿木马的特征,其中ld-linux-x86-64非常可疑。 ?...3、可疑文件定位 搜索ld-linux字符串,其中/dev/shm/.x/文件夹下的两文件可能有异常。上网搜ld-linux-x86-64关键字,发现有类似的挖矿木马的报道。
停止与该实例相关的所有后台进程 $ emctl stop dbconsole $ isqlplusctl stop $ lsnrctl stop b. 备份Oracle数据库 c. 运行升级包升级软件 将补丁包p6810189_10204_Linux-x86-64.zip解压;进入解压后的目录,执行安装命令。 点击“Next” 指定Oracle Home 目录详细,点击“Next” ...