社区 › 安全 › 关于服务器挖矿处理思路

铜坠匍 发表于 2025-6-9 14:00:04

关于服务器挖矿处理思路

事件背景

起因是有开发人员报障，程序在发布后无法正常运行，一直处于在重启的状态。
一开始我以为是程序本身的问题，但在查看服务日志后，并未发现程序有任何错误。
在查看监控系统时，发现该服务器节点CPU 利用率达到了100%，难怪程序已经无法运行。并且，还发现有这种情况的节点不止一个，整个环境中有好几台服务器都是CPU 100%的情况

一、查看进程

使用Top命令查看进程 ，可以看到CPU的使用率已经跑满。但在进程列表中却未发现有异常进程 。除有个别业务程序占用CPU较多，但关掉后情况并未改善。

二、查看网络访问

此时，怀疑是机器被入侵了，因此通过下面命令查看网络连接的情况。
netstat -an |grep ESTABLISHED在查看几台机器后，发现有问题的机器都有一个外网连接，如下所示。
tcp        0      0 10.12.15.7:39410        86.107.101.103:7643     ESTABLISHED

虽然每台机器连接的外网IP地址不同，但端口号统一都是 7643，并且查询地址后发现都是国外地址。
由于相关的服务器并没有国外的业务，因此可以确定被病毒入侵无疑了。三、查看启动项

使用下面命令查看开机启动项
systemctl list-unit-files |grep enabled在启动项中，发现有一个名为OOlmeN2R.service 的可疑服务，怀疑就是病毒。（注：该病毒在不同机器的服务名称皆不同，随机的。但特点是乱码，有大小写或数字。）
auditd.service                                enabledautovt@.service                               enabledcrond.service                                 enableddocker.service                                enabledOOlmeN2R.service                              enabled  

滕佩杉 发表于 2025-10-23 07:44:45

感谢，下载保存了

顾星 发表于 2025-10-25 00:50:15

懂技术并乐意极积无私分享的人越来越少。珍惜

勉欤铅 发表于 2025-11-19 14:25:50

感谢分享，下载保存了，貌似很强大

崔和美 发表于 2025-11-25 21:18:30

收藏一下   不知道什么时候能用到

纪音悦 发表于 2025-12-10 02:55:18

过来提前占个楼

兼罔 发表于 2025-12-28 20:45:24

喜欢鼓捣这些软件，现在用得少，谢谢分享！

伯斌 发表于 2026-1-10 04:00:58

鼓励转贴优秀软件安全工具和文档！

嗳诿 发表于 2026-1-15 16:03:30

谢谢分享，辛苦了

呶募妙 发表于 2026-1-17 03:25:41

这个有用。

忿惺噱 发表于 2026-1-19 03:00:36

懂技术并乐意极积无私分享的人越来越少。珍惜

吉芷雁 发表于 2026-1-19 10:13:38

谢谢楼主提供！

康器 发表于 2026-1-22 20:42:08

感谢分享

柄利 发表于 2026-1-23 15:37:25

分享、互助 让互联网精神温暖你我

系味 发表于 2026-1-25 09:35:02

收藏一下   不知道什么时候能用到

少琼 发表于 2026-1-25 11:30:37

感谢分享

郦湘云 发表于 2026-1-26 09:28:20

很好很强大我过来先占个楼 待编辑

掳诚 发表于 2026-1-28 03:34:44

很好很强大我过来先占个楼 待编辑

事确 发表于 2026-1-29 02:34:32

感谢分享，学习下。

涣爹卮 发表于 2026-2-3 08:26:24

用心讨论，共获提升！

查看完整版本: 关于服务器挖矿处理思路