清理服务器挖矿木马病毒

一.重置密码

在Linux系统中，root用户是具有最高权限的超级管理员账号。如果忘记了root用户的密码或需要更改密码，可以通过以下方法来修改或重置root密码。

1.重置root密码
重置root密码需要使用root用户或者有sudo权限的用户执行以下步骤：

1.1 在系统启动过程中，按下任意键以进入grub菜单。

1.2 选中要使用的内核版本，按下e 键进入编辑模式。

1.3 找到以"linux16"或"linuxefi"开头的行，将其末尾的 "ro" 更改为 "rw init=/sysroot/bin/sh"。

1.4 按下Ctrl + x 或F10键以启动修改后的内核。

1.5 进入单用户模式后，使用 chroot /sysroot 命令切换根目录。

1.6 执行 passwd 命令来设置新密码。

1.7 执行 touch /.autorelabel 命令来更新selinux安全标签。

1.8 执行 exit 命令退出单用户模式，系统会重新启动。

2.修改root密码
修改root密码需要使用当前已知的root用户密码或者有sudo权限的用户执行以下步骤：

2.1 以root用户身份登录系统。

2.2 执行 passwd 命令来更改root用户的密码。

2.3 输入两次新密码，完成密码修改。

参考：Linux系统Centos7修改或重置root密码教程。 - 简书

二、如何确认是挖矿木马？

然后使用命令 df -h 查看硬盘空间，发现根目录居然满了，接着（在root权限下）使用 ls -A 命令，才发现全是类似于 ethminer.tar 的文件，大概是这样：

一查ethminer，挖矿程序无疑。

使用 rm -rf ethminer* 尝试删除这些文件后，发现过一会又出现了。。于是猜测有定时脚本任务，使用 crontab -l 查看定时任务，回显：

@daily /var/tmp/.tmp/./.b4nd1d0
@reboot /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
* * * * * /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown
@monthly /var/tmp/.tmp/./.placi > /dev/null 2>&1 & disown

 三、处理方式

1.首先，直接删除木马脚本以及下载的乱七八糟的东西，这里发现不止 /var/tmp路径下有相关木马， / 、 /root 等目录也惨遭荼毒。

rm -rf /var/tmp/.tmp/./.b4nd1d0
rm -rf /var/tmp/.tmp/./.placi
rm -rf /var/tmp/.tmp/./bin
rm -rf /var/tmp/.ladyg0g0
rm -rf /usr/bin/.locationesclipiciu
rm -rf /usr/bin/.pidsclip
rm -rf /.b4nd1d0
rm -rf /root/.b4nd1d0
rm -rf /root/bin
rm -rf /usr/.SQL-Unix
rm -rf /usr/tmp
rm -rf /usr/bin/sshd
# 这里注意ethminer.tar.*文件不一定在哪个目录
rm -rf /root/ethminer*
rm -rf /var/tmp/.tmp/./ethminer*

#删除 sclipicibosu 用户
userdel -r sclipicibosu
# 删除不成功就使用chmod修改/etc/passwd和/etc/shadow权限，再使用vim删除/etc/passwd和/etc/shadow该用户相关内容。
rm -rf /home/sclipicibosu

# 恢复.bashrc文件
cp /etc/skel/.bash* /root/
cp /etc/skel/.bash* /home/admin/

2.然后，清除一下 crontab 定时任务

crontab -e

将恶意的定时任务全都删掉，然后先按esc, 输入 :wq ，即保存并退出。

4. 重启， reboot

5.关闭外网映射

参照：清理服务器挖矿木马病毒_b4nd1d0_文洪涛的博客-CSDN博客

四、Linux系统root用户登录后显示“-bash-4.2#“的解决办法

将这两个文件复制到/root（对应用户的home目录）下，重启系统后重新登录正常

cp /etc/skel/.bash_profile /root
cp /etc/skel/.bashrc /root

参照：Linux系统root用户登录后显示“-bash-4.2#“的解决办法 – 蓝队云