一、尝试查找
1.1 删除定时任务
top命令 看到mysql,但并没有安装过mysql服务
通过crontab -l 查看到有定时启动脚本mysql,启动脚本挂载在/mnt,并没有这个目录
删除定时任务后还是会启动
尝试删除后重启- 无效
1.2 禁止访问病毒指向的域名 (成功)
通过命令lsof -p 进程号,查找到一个网络连接,同时发现启动的/mnt/.new/mysql脚本被这个进程删除
[root@basevm01 ~]# lsof -p 22037
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
mysql 22037 root cwd DIR 253,0 250 64 /
mysql 22037 root rtd DIR 253,0 250 64 /
mysql 22037 root txt REG 253,0 2022580 4018353 /usr/bin/mysql (deleted)
mysql 22037 root DEL REG 0,13 120205 /anon_hugepage
mysql 22037 root DEL REG 0,13 118195 /anon_hugepage
mysql 22037 root DEL REG 0,13 120216 /anon_hugepage
mysql 22037 root DEL REG 0,13 116666 /anon_hugepage
mysql 22037 root DEL REG 0,13 118196 /anon_hugepage
mysql 22037 root DEL REG 0,13 119695 /anon_hugepage
mysql 22037 root 0r FIFO 0,9 0t0 116049 pipe
mysql 22037 root 1w CHR 1,3 0t0 1028 /dev/null
mysql 22037 root 2w FIFO 0,9 0t0 116910 pipe
mysql 22037 root 3u REG 253,0 0 67190912 /tmp/.lock
mysql 22037 root 4u a_inode 0,10 0 7495 [eventpoll]
mysql 22037 root 5r FIFO 0,9 0t0 116089 pipe
mysql 22037 root 6w FIFO 0,9 0t0 116089 pipe
mysql 22037 root 7r FIFO 0,9 0t0 114475 pipe
mysql 22037 root 8w FIFO 0,9 0t0 114475 pipe
mysql 22037 root 9u a_inode 0,10 0 7495 [eventfd]
mysql 22037 root 10u a_inode 0,10 0 7495 [eventfd]
mysql 22037 root 11u a_inode 0,10 0 7495 [eventfd]
mysql 22037 root 12r CHR 1,3 0t0 1028 /dev/null
mysql 22037 root 13u IPv4 119684 0t0 TCP 10.0.1.102:34432->weblara.com.br:http (ESTABLISHED)
猜测大概是网络上下载的脚本,启动后立即删除
还是没有找到为什么会自动重启,
先尝试修改/etc/hosts文件,将网络连接的域名随机指向一个不存在的ip ,增加一行
127.0.0.1 weblara.com.br
重启查看病毒是否会再次启动
病毒没有启动了
1.3 记得换密码
二、其他方法,尝试杀毒,因为下载时间太长了,我没有试过
参考:https://www.jianshu.com/p/0f61627c5954
sudo yum install clamav clamav-update clamav-scanner-systemd clamav-server-systemd -y