记录一次服务器清除xmrig挖矿病毒,及伪装成mysql的挖矿病毒!

linux 同时被 3 个专栏收录
3 篇文章 0 订阅
1 篇文章 0 订阅
1 篇文章 0 订阅

突然发现服务器cpu及负载全部达到100%,不出意外应该是中病毒了,开始十万火急的排查!!!!!

1、首先执行

top

查看具体占用
在这里插入图片描述

果然不出所料,中了挖矿病毒,下面开始清除

2、直接杀死进程

kill -9 xxx

发现病毒会重启,我们只能找到根源文件,进行删除在杀掉进程

3、开始查找文件

find / -name xmrig

找到文件目录:/root/skypool/xmrig 在这里插入图片描述
4、进入看一下文件详情

cd /root/skypool
ls

在这里插入图片描述
果然是病毒文件

5、进行删除处理

rm -rf skypool

6、然后杀死进程查看占用

kill -9 xxx

在这里插入图片描述
果然xmrig已经清除,但是mysql占用飙升,继续进行定位查看mysql的问题

7、首先重启mysql

service mysqld restart

发现占用依旧快达到100%,没什么作用

8、关闭mysql进程

service mysqld stop

发现mysql进程依旧存在

9、那我们要看下这个进程里面的文件究竟是什么

 lsof -p xxx

查到文件地址在这里/etc/mysql/mysql,对小编来说很明显,因为小编的mysql安装的位置不是这里,那我们详细的看一下

10、进入查看文件结构

cd /etc/mysql
ls

在这里插入图片描述
果然是伪装的mysql,那我们也同上面一样,进行删除程序目录,然后杀死进程

11、继续检测完美清除病毒程序CPU占用回归正常

top

到这里小编的清除服务器病毒也就到此结束了,后续小编会继续查找,病毒究竟是怎么进来的,期待真相大白,最后问候一下制造病毒黑客的祖宗十八代!

经过小编的定位及资料翻阅,定位到问题是由于yapi的漏洞导致,木马是通过ypai恶意注册用户然后通过mock接口注入代码引起的。解决的办法是关掉注册功能和mock功能然后将异常的数据清除(用户和mock数据)

  • 1
    点赞
  • 4
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值