Debian 中招挖矿病毒发现及清理记录,唉~

先吐槽:再次发现了一个挖矿病毒,被蹭了资源,本文也就是为了记录一下发现及解决的方法,以备后用。

系统:Debian 12 最小安装

发现:在日常监测运行状态时发现 CPU 占用超 50%,内存占用超 80%,而且长时间不降

分析

1.先查进程中占用较大的进程,我安装了 btop 工具,用这个在 TUI 下看着比较直观,也挺好看的;看到占用较大的进程程序名是 x86_64,命令是 -bash,怎么会是系统的程序?不对系统的应该不会占用这么大的资源,而且关掉了也会马上就再次运行,所以指定是不正常。

2.安装 net-tools 工具包,使用 netstat-antlp | grep -e bash -e rsync 可以看到 -bash 有网络通讯,查了一下对面地址是外国的,XXX 的。

3.看 -bash 命令是以我正常运行的普通用户权限运行的,就进去看了看计划任务 crontab -l ,发现果然有一个计划任务,并且也把程序的实际位置给找出来了:

* * * * * /var/tmp/.ICE-Unix/-bash/upd >/dev/null 2>&1

清理:既然发现问题了,就开始清理吧,最后应该修改密码了,要不然以后可能还得中;

1.先干掉计划任务中的计划任务,要不然还会再重新运行;

crontab -e ,然后删掉计划任务(或者前面加 # 号注释掉也行,等程序删掉后再删掉这行,以免忘记实际程序所在位置)

2.再查都有哪些进程 ps aux | grep bash

user 988811 0.0 0.1 8572 4052 pts/0 Ss 21:00 0:00 -bash

user 988925 0.0 0.1 10088 5672 pts/1 Ss 21:00 0:00 -bash
user 989151 202 61.5 2440852 2400252 ? Ssl 21:02 28:45 -bash

user 989454 0.0 0.0 6560 2064 pts/1 S+ 21:16 0:00 grep bash

3.干掉 -bash 的进程,注意:要干掉的是 989151 这个,因为另外两个带有 pts/0 和 pts/1 说明这两个是我正常连接的 ssh 端的正常 -bash ,这两个要是干掉,那连接也就断了

4.清理完成,此时再观察一会儿发现挖矿的 -bash 再没有重新启动,CPU 和 内存 占用恢复正常,此时就可以删掉挖矿程序与计划任务了。

相关推荐
不像程序员的程序媛5 小时前
系统cpu内存负载资源分析
运维·服务器·数据库
Asuicao8 小时前
centos7.9版本升级ssh OpenSSH 9.8p1 源码 OpenSSL 1.1.1w 源码包以及安装升级回滚文档
运维·ssh
志栋智能8 小时前
超自动化安全中的威胁狩猎
运维·安全·自动化
↘"LYong9 小时前
旧版 CentOS 安装 Docker 完整指南(附国内镜像加速)
linux·运维·docker
Elastic 中国社区官方博客9 小时前
Elastic 在 Everest Group 企业搜索产品 PEAK Matrix® 评估 2026 中被评为领导者
大数据·运维·人工智能·elasticsearch·搜索引擎·ai·全文检索
程序员在囧途9 小时前
likeadmin-api API 中转站怎么做统一报价?从 /pricing、/user/balance 到 task_id 回执的落地方法
运维·服务器·数据库·likeadmin-api·api中转站·token计费
想你依然心痛11 小时前
Linux用户空间与内核空间通信:netlink、ioctl、mmap 零拷贝与性能对比
linux·运维·服务器
沉静的小伙11 小时前
在微服务中使用领域事件
java·运维·微服务
wenzhangli711 小时前
oodAgent 4.0 Skills分布式调度 — 从Code Agent实战看自主维护的Agent网络
运维·网络·人工智能·自动化
做个文艺程序员11 小时前
Linux第12篇:性能监控与瓶颈分析——CPU/内存/IO/网络全维度
linux·运维·网络