不知道为啥,今天部署了一个后端程序,突然黑客大佬就强行塞进了一大堆病毒,其中最熟悉的还是我们的老顾客,pnscan,臭名昭著的挖矿病毒。记录一下解决方案。
首先第一步,挖矿病毒一定会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修改。然后覆盖掉它。
chattr.c的下载地址:
放到任意非root目录下,然后编译
cc chattr.c
mv a.out /usr/chattr
然后使用新的chattr文件修改被锁住的chattr。去除特殊属性 -i
cd /usr
./chattr -i /usr/bin/chattr
然后给新的chattr赋权限,并复制过去替代锁住的
mv chattr ./bin/chattr
然后查看修改后的属性,只要没有-i -a就行了
lsattr /usr/bin/chattr
接下来安装需要的命令工具
yum install e2fsprogs
安装完成以后,要去清除黑客大佬留下的ssh登录公钥
cd root
ls
cd .ssh
# 查看公钥文件的权限属性
lsattr authorized_keys
# 去掉 -ia两个属性
chattr -ia authorized_keys
chattr -e authorized_keys
# 删除里面的信息
vim authorized_keys
由于总是显示预加载库的错误,先解决这个问题
# 去掉被锁住的权限
chattr -ie ld.so.preload
# 删除里面的关于pnscan的库
vim /etc/ld.so.preload
接下来就是删除病毒文件本体
whereis pnscan 和 whereis crypto这命令会显示病毒文件所在的Linux路径
# 强制删除它们
rm -f /usr/local/bin/pnscan
chattr -iea /usr/local/lib/pnscan.so
rm -f /usr/local/lib/pnscan.so
接下来就是杀掉病毒进程,但是首先要恢复kill命令的权限
whereis kill
lsattr /usr/bin/kill
chattr -ia /usr/bin/kill
如果病毒进程被隐藏,可以使用更多进程查看软件比如
yum install -y atop
yum install -y htop
top
然后杀死病毒进程就好了
kill - 9
最后还要检查一下有没有定时任务,有的话就删掉
crontab -l