近机器被挖矿程序占领,机器响应很慢,记录一下如何清理挖矿程序
1 执行top命令, 找到挖矿程序的进程号
2 执行命令,查看实际运行的程序
ls -l /proc/进程号/exe
可以看到程序启动后,脚本就被删除了
3 查看进程的由来
lsof -p 进程号,可以看到源头是从/tmp下的子目录来的,是从一个119.205.235.58上获取木马代码
4 查看并删除定时任务
crontab -l //查看定时任务
crontab -r //删除定时
在/root目录下发现脚本文件,开始处理
5 查看.systemd**.sh文件
首先修改.systemd**.sh文件的权限为不可执行
chmod 000 .system**.sh
cat .systemd**.sh文件,会发现代码用了base64编码,可以使用bejson.com解码看内容,解码后内容如下
内容还是比较清晰的,通过分析脚本内容,可以看到病毒是怎么放到本地服务器的
6 清除病毒
尝试过各种方式,目前发现最有效的方法是将/usr/bin/目录下的curl文件改名,当然这也会影响其他文件的传输,需要时可以再改回来
1)修改服务器密码
2)curl改名
mv /usr/bin/curl /usr/bin/要改的名字
3)kill掉相关进程
cd /tmp/.X11-unix
4) 删除挖矿程序相关文件
cd /root && ls -a
chattr +i /root 锁定进程所在路径(解除锁定chattr -i /root)
再检查/opt目录,发现也有一个同root目录下类似的.sh文件
删掉这个文件,然后锁定/opt目录, chattr +i /opt
检查下面的目录
rm -rf /var/spool/cron/root
rm -rf /etc/cron.d/0systemd-private-S*
rm -rf /var/tmp/systemd-private-*
rm -rf /tmp/systemd-private*
解锁/root 、/opt目录
chattr -i /root
chattr -i /opt
