记录一次挖矿病毒处理
挖矿病毒特征:占用cpu,ecs的cpu异常飑起
变种:uugifz\ (deleted) ruckusapd uugifz zerocert uagjfk firstpress
处理过程:
1、top查看占用cpu进程,记录pid
top
2、systemctl status pid,获取进程执行文件,
systemctl status 26389
3、对应删除红框标注文件路径,
4、创建同名同路径文件和+i权限
touch /tmp/zerocert && chattr +i /tmp/zerocert
touch /usr/local/bin/uagjfk && chattr +i /usr/local/bin/uagjfk
touch /tmp/zerocert && chattr +i /tmp/zerocert
5、杀掉相应pid
kill -9 PID
kill -9 10373 14435 26389```
6、top观测,是否还有变异体产生,再次操作 2-6,直至top观察正常