top系统 发现可疑进程pnscan,之所以可疑是因为通过top多次观察,该进程消耗资源总是排在前列。pnscan这是什么鬼?网上科普了一下,原来是臭名昭著的挖矿蠕虫病毒!这家伙可以通过Redis感染服务器,尤其是暴露在公网,没有更改端口,也没有设置客户端连接的认证密码。感觉不妙,这台服务器前一天刚装了Redis,默认的端口...
第二步:杀病毒crypto和pnscan病毒进程 查找CPU100耗尽的原因 挖矿病毒crypto和pnscan 入侵linux主机,留有/root/.ssh/密钥免登录后门。 第1步:清除root免登录权限。这一步我们已经做好了。 第2步:删除挖矿病毒crypto和pnscan文件。 crypto文件目录位置:/urs/share/ pnscan文件目录位置:/usr/local/bin 如果木马文件不...
pnscan病毒感染惨状: 使用top&ps&netstat等等命令,都无法正常使用 CPU基本100%,时不时网络中断 redis端口6379被大规则线程占用 通过lsof -i:6379查看进程,发现进程id一直在变动 rm -rf攻击的脚本,显示没权限(加sudo也没用,彻底对这个病毒服气了!) >>提示<< 最终因为被感染的文件实在太多,只能重装系统。尽管删除了...
三、找出挖矿机器目的地(新加坡) CPU暴涨,那肯定是后台有恶意程序在跑了,先top命令查看一下,果然,两个常见的挖矿病毒,crypto和pnscan top 1. 这些恶意程序一般都存在/usr/share目录下,查看若然都在里面,执行下面的命令把这些相关程序都删除了 # 查看 ls -l /usr/share | gre cry # 删除 sudo rm -rf /usr...
实际上,Linux.BackDoor.Tsunami家族的后门程序可以帮助攻击者,在任何一个被入侵的设备上加载任意一种木马病毒。 除此之外,Doctor Web的安全研究人员还检测到了Linux.PNScan.1的一个变种木马,这个木马被Dr.Web以Linux.PNScan.1添加进了公司的病毒数据库中。不同于它的前身,这种木马不会尝试利用路由系统中的漏洞,...
1.查看病毒位置 whereis pnscan whereis xmrigMiner whereis xmrigDaemon whereis httpd 2.查出路径后首先直接删除文件,再杀进程,查出位置后使用chattr删除权限 cd 文件路径 因为病毒已经锁定了chattr,所以需执行如下操作 yum -y install e2fsprogs 3.开始删除 ...
6.大多数黑客进入系统后都会建立自己的账户或者免密登录,最开始时就查询过用户列表中没有异常用户 ,那么我们就找下目录中是否authorized_keys文件 果然 在root家目录下 找到了authorized_keys这个文件 ,一样去除特殊权限后就可以修改删除了!然后再在/usr/local/bin/ 下pnscan病毒文件删除 ...
简介:centos清理挖矿病毒[crypto][pnscan] centos清理挖矿病毒[crypto][pnscan] 新买的云服务器cpu占用100%,瞬间想到挖矿木马。 排查过程如下: 1、top命令查看进程占用情况,没有发现可疑进程,而且cpu的total used也是正常的,但cpu占用率是100%,显然,木马进程被恶意隐藏了,常规的ps命令肯定找不到。
CPU暴涨,那肯定是后台有恶意程序在跑了,先top命令查看一下,果然,两个常见的挖矿病毒,crypto和pnscan top 1. 这些恶意程序一般都存在/usr/share目录下,查看若然都在里面,执行下面的命令把这些相关程序都删除了 # 查看 ls -l /usr/share | gre cry
删除进程pnscan # 查看进程ps -ef | grep pnscan# 先删除文件,在杀进程[root@ecs-5613 cron]# find / -name pnscan/usr/local/bin/pnscan [root@ecs-5613 cron]# find / -name pnscan*/usr/local/share/man/man1/pnscan.1.gz# 删除文件rm-rf /usr/local/bin/pnscan /usr/local/share/man/man1/pn...